MW WP Form v4 をリリースしました

August 31, 2018, 7:03 pm

≪ Previous: 9/1 に MW WP Form v4 をリリースします。

昨年の6月くらいに手を付けたものの、リリースが伸び伸びになっていた v4 をやっとリリースしました。v4 の主な内容は下記のとおりです。

コードの大幅なリファクタリング
入力フィールドをテーマ側で簡単に上書き可能に
メール設定が未入力の場合によしなに補完するのを廃止
MW WP Form を実行するショートコード [mwform_key] をテンプレート埋め込み可能に
完了画面に送信されたデータを表示可能に
いくつかのフックやメソッドを非推奨、使用不能に
翻訳を GlotPress に

他にもいろいろやってる気がするのですが、1年以上間が空いたりしていて僕も忘れちゃってるので、全てを把握したい方は GitHub の diff をご参照ください（そしてこれ漏れてるよと教えてもらえると超助かります）。

リファクタリングにいたった経緯

実行プロセスを大幅に見直した MW WP Form v4 を開発中です

上記に書きました。ごちゃごちゃになってて自分でも把握でいていなかったのを整理したくてはじめましたが、広報互換性を気にしたり、PHP 5.2 対応を気にしたりすると抜本的な変更を入れることはなかなか難しく、かなり大幅に書き直してはいるものの、結局把握できるようにはなっていません…悲

よくメールやチャットなどで「簡単なことだと思うのでちょっと聞きますが…」というような問い合わせをいただきますが、開発者だからといって僕も全然把握できていないので、結局回答するためにはエディタを開いてコードを読み直したり、開発環境を立ち上げて実際にフォームを作ってみて、というようなことをしなければなりません。ごくたまにならまぁそういうのも別に良いのですが、週に数回は知っている方、知らない方、いろいろな方からそのような問い合わせがきていて、わりと大変で最近はほぼ無視することが多いので、えー、なるべく自分で頑張っていただくか、正式にお仕事としてご依頼いただければと思います。

入力フィールドをテーマ側で簡単に上書き可能に

MW WP Form v4 からテーマにファイルをおくだけで入力フィールドを上書きできるようになります

メール設定が未入力の場合によしなに補完するのを廃止

便利だと思ってやっていたのですが、これがわりと混乱の原因の1つになっているようだったので廃止しました。つまり、送信元だとか、送信先だとか、そういった設定の自動補完がなくなりますので、全部入力が必要になります。これまで未入力で運用されている方の場合は、v4 にアップデートするとメールが送信されなくなりますので再設定してください。

MW WP Form を実行するショートコード [mwform_key] をテンプレート埋め込み可能に

これも混乱の原因になっていたので、リダイレクト処理を大幅につくりなおして、テンプレートにも埋め込めるようにしました。

これまでは、例えば確認画面に直接アクセスされたときに、ページが開く前に判定して PHP でリダイレクトさせていたのですが、一旦ページを開かせて JavaScript でリダイレクトさせるようにしました。この「ページが開く前に判定」というのがネックでテンプレート埋め込みができなかったんですよね。ということで、多分カスタムフィールドに [mwform_key] を入れて、みたいなこともできるようになったと思います（試していません）。

完了画面に送信されたデータを表示可能に

完了画面でもメールと同じように {name} で送信されたデータが表示できるようにしました。{hoge} と書くと、[mwform_text name=”hoge”] から送信されたデータが表示される、というような感じです。トラッキングナンバーはどうだったかな…ちょっと忘れたのでぜひ試してみてください（動作したかどうか報告いただけると超嬉しいです）。

いくつかのフックやメソッドを非推奨、使用不能に

プラグインの readme.txt で確認してください。

翻訳を GlotPress に

これまでプラグイン内に翻訳ファイルを同梱していましたが、全部削除して GlotPress で翻訳するようにしてみました。v4 からの翻訳対象文字列も GlotPress で翻訳してみたのですが、どうもまだ各 WordPress には配信されないようです（2018年9月1日11時現在）。ほっといたら時間差で配信されたりするのかな…。ずっと配信されないようならまた見直したりしてみます。

最後に

もし v4 にあげて不具合がでたとなったときに、フィードバックをいただくのは本当にありがたいのでぜひ報告していただきたいです。ただ、もう何度もしつこいくらいに書いていますが、「動かなくなった！至急対応してください！」みたいなのは無理です。MW WP Form は無償配布しているプラグインなので、どうしてもいま請けているお仕事が優先になります。

これまでに MW WP Form アドオンの開発をご依頼いただいた方で、アップデートしてアドオンがちゃんと動かなくなったという方がいらっしゃいましたら、順次対応いたしますのでお気軽にご連絡いただければと思います。

↧

MW WP Form v4.1.2 をリリースしました

August 21, 2019, 8:48 am

≫ Next: 全ての MW WP Form アドオンの販売を終了しました。

≪ Previous: MW WP Form v4 をリリースしました

v4 から、問い合わせ番号を使用しているフォームの場合に完了画面にも問い合わせ番号を表示させることができるようになっていましたが、実際の問い合わせ番号に +1 して表示されてしまう不具合がありました。

今回のアップデートで正しい番号（メールで送信された番号と同じ番号）が表示されるようになりました。

↧

全ての MW WP Form アドオンの販売を終了しました。

February 4, 2021, 6:39 pm

≫ Next: MW WP Form v4.4.2 をリリースしました

≪ Previous: MW WP Form v4.1.2 をリリースしました

全ての MW WP Form アドオンの販売を終了しました。振り込みなら販売する、○○な方法なら販売するということもありません。さらに詳しく

↧

MW WP Form v4.4.2 をリリースしました

August 23, 2022, 10:43 pm

≫ Next: MW WP Form v4.4.3 をリリースしました

≪ Previous: 全ての MW WP Form アドオンの販売を終了しました。

少し前のバージョンから、URL 設定に空白やアスタリスクがあると無限ループが発生してしまうという不具合があり、ちょいちょい修正を入れたりしていたのですが完全には直っていない状況でした。

先日 GitHub で @tomothumb さんからこの件についてプルリクをいただいたのでマージしました。

詳しくは下記の書き込みを見ていただければと思うのですが、

https://github.com/inc2734/mw-wp-form/issues/133#issuecomment-1222176152

URL 設定でアスタリスク・空白・マルチバイト文字を使用したいときは URL エンコードをするようにしてみてください。

↧

MW WP Form v4.4.3 をリリースしました

May 7, 2023, 9:20 pm

≫ Next: MW WP Form v4.4.4 をリリースしました

≪ Previous: MW WP Form v4.4.2 をリリースしました

これはセキュリティとメンテナンスのための緊急リリースです。今すぐ更新してください。

ディレクトリトラバーサルの脆弱性が MW WP Form v4.4.2 以前のバージョンに見つかりました。この脆弱性を利用することで、悪意あるフォーム送信者は本来参照できないサーバー上のファイルを参照することができ、結果としてサーバのリソース枯渇による DoS または WordPress の再インストール(RCE)につながります。

また、画像アップロード項目、ファイルアップロード項目を作成していない場合でも、問い合わせフォームの HTML ソースコードを input タグに変更することで、任意のファイルを公開ディレクトリにアップロードすることができ、悪意あるフォーム送信者が任意のファイルを当該ドメインから配布することが可能です（デフォルトでは WordPress 側のファイルタイプ検証を通るため、あらゆるファイルをアップロードすることはできませんが、サーバー側の設定によっては悪意あるフォーム送信者が任意のファイルをアップロードできる可能性があります）。

対策方法

WordPress のダッシュボードから MW WP Form を最新版にアップデートしてください。ダッシュボードに更新通知が表示されない場合は WordPress.org から最新版の MW WP Form の zip ファイルをダウンロードし、WordPress のダッシュボードから当該 zip ファイルをアップロードしてアップデートしてください。

主な変更点

フォームからアップロードしたファイルが保存される一時ディレクトリに .htaccess を設置するようにし、アップロードされたファイルが閲覧できないようにする。
上記の変更に伴い、確認画面で画像やファイルの閲覧はできなくなります。
メールにはファイル URL は記載されず、ファイル名のみが記載されます。
メールに添付するファイルが一時ディレクトリ配下のものか検証するようにする。
アップロードされたファイルがファイルアップロード項目、画像アップロード項目のものか検証する。

↧

MW WP Form v4.4.4 をリリースしました

May 9, 2023, 11:37 pm

≫ Next: MW WP Form v4.4.5 をリリースしました

≪ Previous: MW WP Form v4.4.3 をリリースしました

v4.4.3 から、ファイル項目と画像項目の設定によって、その項目からのアップロードができなくなってしまうことがある不具合を修正しました。さらに詳しく

↧

MW WP Form v4.4.5 をリリースしました

May 17, 2023, 4:46 pm

≫ Next: MW WP Form 5.0.0 をリリースしました

≪ Previous: MW WP Form v4.4.4 をリリースしました

WordPress 6.2 の環境で、ファイルフィールド・画像フィールドから送信されメールに添付されたファイルのファイル名が、自動生成した（= システム上正しい）ファイル名ではなく、name の値になってしまう不具合が報[...]さらに詳しく

↧

MW WP Form 5.0.0 をリリースしました

September 7, 2023, 10:16 pm

≫ Next: MW WP Form のメンテナンスを引き継いで頂けることになりました

≪ Previous: MW WP Form v4.4.5 をリリースしました

これはセキュリティとメンテナンスのための緊急リリースです。今すぐ更新してください。

フォームのアクセス制御の脆弱性が MW WP Form v4.4.5 以前のバージョンに見つかりました。フォームが下書き、あるいは削除されてゴミ箱に入っている場合でも、フォームが設置されているページからフォームが消えない問題があります。今回のアップデートでフォームが下書き、あるいは削除されてゴミ箱に入っている場合は、例えページのそのフォームが設置されていたとしても、フォームが表示されないように修正されました。

※その他にも変更点があるので、下記の「主な変更点」をご確認ください。

対策方法

主な変更点

フォームが下書き、あるいは削除されてゴミ箱に入っている場合は、例えページのそのフォームが設置されていたとしても、フォームが表示されないように修正
エラーメッセージ「dosen’t support “MW_WP_Form_Abstract_Validation_Rule::getName()” already. This will be removed in the next version.」が表示されることがある不具合を修正
CSRF 対策の処理を変更
ファイルアップロード処理のセキュリティを強化

↧

MW WP Form のメンテナンスを引き継いで頂けることになりました

September 19, 2023, 7:53 pm

≪ Previous: MW WP Form 5.0.0 をリリースしました

クローズ宣言をした MW WP Form ですが、なんと大変ありがたいことに引き継いでくださる方が見つかりました！株式会社Webの相談所の竹下さんと安藤さん、そして浅川さんです。僕の近年の対応と同じで新規機能追加は基本的に無し、必要最低限の脆弱性対応・メンテナンスのみ、という対応で引き継いで頂きました。しばらくの間現状の公式サイトは残しておきますが、近いうちに新しいURLに移行になります。

好意で引き継いで頂いているので、クローズがなくなったからといって皆さんに無茶な要望や要求をすることは控えてください。

竹下さん、安藤さん、浅川さん、改めてありがとうございます！

↧