サポート » バグ報告と提案 » ホストPCの絶対パスが表示されてしまう問題

  • sakuramate

    (@sakuramate)


    wp-settings.php を通じてユーザーのPCアカウント名が取得できてしまう問題について報告です。

    “wp-settings.php”を直接呼び出すと、Waring表示の中でwp-settings.phpの絶対パスが表示されてしまうようです。
    例:Use of undefined constant … in /home/<USER>/public_html/wp-settings.php
    <USER>部分がPCアカウント。

    PCアカウント名を知られて困る人も少ないと思いますが、強いて例を挙げると
    マルチドメイン機能で複数のWordPressサイト(A, B)を運営している場合に、
    サイトAと、サイトBの契約者が同一であることが確認できてしまうと思います。

    これを防ぐには下記の方法が考えられます。
    ・phpのパーミッション設定を行う
    ・.htaccessでphpの直接コールを禁止する

    初期設定でも絶対パスが表示されないところもありますが、
    レンタルサーバーによっては未対策のところもあるようです。
    サイト運営者の皆様、ご確認ください。

3件の返信を表示中 - 1 - 3件目 (全3件中)
  • こんにちは

    php でエラーを表示しなくするには display_errorsoff に設定してください。

    エラーの表示が気になる方は、やり方はいくつかありますが以下の記事などを参考にしてください。

    note – PHPのエラー表示設定について

    この問題は既にチケットが発行されています。
    https://core.trac.wordpress.org/ticket/10367

    「if you’re that worried about paths, then you should have error reporting off.And the path is only a “problem” if you’re on a shared server with poor security.」
    とのことで、8年前にクローズ(wontfix)しています。

    スレッド開始 sakuramate

    (@sakuramate)

    munyagu様>
    phpエラーの表示レベルを.htaccessで制限できるのは知りませんでした。
    勉強になりました。ありがとうございます。

    ishitaka様>
    クローズしている現象だったのですね。
    “wp-settings.php”,”absolute file system”などでも検索してみたのですが、
    このページは見落としていました。
    情報ありがとうございます。
    https://core.trac.wordpress.org/ticket/10367

3件の返信を表示中 - 1 - 3件目 (全3件中)
  • このトピックに返信するにはログインが必要です。