サポート » バグ報告と提案 » ホストPCの絶対パスが表示されてしまう問題

ホストPCの絶対パスが表示されてしまう問題

  • sakuramate

    (@sakuramate)


    2年、 11ヶ月前

    wp-settings.php を通じてユーザーのPCアカウント名が取得できてしまう問題について報告です。

    “wp-settings.php”を直接呼び出すと、Waring表示の中でwp-settings.phpの絶対パスが表示されてしまうようです。
    例:Use of undefined constant … in /home/<USER>/public_html/wp-settings.php
    <USER>部分がPCアカウント。

    PCアカウント名を知られて困る人も少ないと思いますが、強いて例を挙げると
    マルチドメイン機能で複数のWordPressサイト(A, B)を運営している場合に、
    サイトAと、サイトBの契約者が同一であることが確認できてしまうと思います。

    これを防ぐには下記の方法が考えられます。
    ・phpのパーミッション設定を行う
    ・.htaccessでphpの直接コールを禁止する

    初期設定でも絶対パスが表示されないところもありますが、
    レンタルサーバーによっては未対策のところもあるようです。
    サイト運営者の皆様、ご確認ください。

3件の返信を表示中 - 1 - 3件目 (全3件中)
  • munyagu

    (@munyagu)

    2年、 11ヶ月前

    こんにちは

    php でエラーを表示しなくするには display_errorsoff に設定してください。

    エラーの表示が気になる方は、やり方はいくつかありますが以下の記事などを参考にしてください。

    note – PHPのエラー表示設定について

    ishitaka

    (@ishitaka)

    2年、 11ヶ月前

    この問題は既にチケットが発行されています。
    https://core.trac.wordpress.org/ticket/10367

    「if you’re that worried about paths, then you should have error reporting off.And the path is only a “problem” if you’re on a shared server with poor security.」
    とのことで、8年前にクローズ(wontfix)しています。

    トピック投稿者 sakuramate

    (@sakuramate)

    2年、 11ヶ月前

    munyagu様>
    phpエラーの表示レベルを.htaccessで制限できるのは知りませんでした。
    勉強になりました。ありがとうございます。

    ishitaka様>
    クローズしている現象だったのですね。
    “wp-settings.php”,”absolute file system”などでも検索してみたのですが、
    このページは見落としていました。
    情報ありがとうございます。
    https://core.trac.wordpress.org/ticket/10367

3件の返信を表示中 - 1 - 3件目 (全3件中)
  • トピック「ホストPCの絶対パスが表示されてしまう問題」には新たに返信することはできません。

表示