<div dir="ltr">Hi Everyone,<br>Hope you are doing something awesome!!<br><br><div>I have been thinking about this for long, and started writing the plugin today, after I came across an article meant for <b>Wordpress</b> plugin developers. It stated that plugin developers should protect the <b>forms </b>in the plugin against CSRF by calling methods like<span style="color:rgb(0,0,0);font-family:Consolas,Monaco,'Courier New',Courier,monospace;font-size:12px;line-height:1.3em;white-space:pre-wrap;background-color:rgb(243,243,247)"> wp_nonce_field()</span>, <span style="color:rgb(0,0,0);font-family:Consolas,Monaco,'Courier New',Courier,monospace;font-size:12px;line-height:1.3em;white-space:pre-wrap;background-color:rgb(243,243,247)">wp_verify_nonce(), etc </span>distinctly for every other forms. Now thats exactly what CSRF Protector aimed to fix!<br>Also, there are references to lot of Wordpress plugins vulnerable to CSRF, in the exploit-db, and installing such plugins make the whole admin panel vulnerable. Installing the plugin with CSRFP would ensure CSRF mitigation even if there is some vulnerable plugin installed.<br>Also I once had a chat with Wordpress security team where they asked me to implement CSRFP as a plugin and said if it goes well they might implement it as default anti-CSRF method.</div><div><br></div><div>So I have implemented, it as a plugin, and it works well for all POST request in admin panel, need to implement it for certain GET (as plugins might introduce actions by clicking on links, but identifying such links could be a challenge).</div><div><br></div><div>Its available at: <a href="https://github.com/mebjas/WP-CSRF-Protector">https://github.com/mebjas/WP-CSRF-Protector</a></div><div>So if any one is interested, have a look! {Feedbacks || suggestions || bugs} are welcome!!<br><br><br></div><div><div>References:</div><div>1. Link to project on github: <a href="https://github.com/mebjas/WP-CSRF-Protector">https://github.com/mebjas/WP-CSRF-Protector</a><br>2. exploit-db {{ <a href="http://www.exploit-db.com/search/?action=search&filter_page=1&filter_description=wordpress&filter_exploit_text=csrf&filter_author=&filter_platform=0&filter_type=0&filter_lang_id=0&filter_port=&filter_osvdb=&filter_cve=">CSRF + Wordpress</a> }}<br><br>Seems to be a long mail now :D</div><div>Thanks!<br clear="all"><div><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div style="font-family:arial"><font color="#666666">----------------------------------------------------------------------------</font></div><div style="font-family:arial"><font color="#666666">Kind Regards,</font></div><div><font color="#666666" style="font-family:arial">Minhaz</font><font style="font-family:arial" color="#0000ee"> | <a href="http://cistoner.org/projects" target="_blank">My Projects</a></font><font color="#666666" style="font-family:arial"> | <a href="http://cistoner.org/minhaz/" target="_blank">M</a></font><font color="#0000ee" style="font-family:arial"><a href="http://cistoner.org/minhaz/" target="_blank">y blog</a></font></div></div></div></div></div></div></div></div>
</div></div></div>