質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
WordPress

WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

ダウンロード

リモートシステムからローカルシステムへとデータを受信する事、もしくはそのようなデータ転送を行う事をダウンロードと呼びます。

JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

Q&A

解決済

3回答

2272閲覧

ダウンロードボタンのセキュリティと作り方

akama_666

総合スコア14

WordPress

WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

ダウンロード

リモートシステムからローカルシステムへとデータを受信する事、もしくはそのようなデータ転送を行う事をダウンロードと呼びます。

JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

0グッド

0クリップ

投稿2019/07/17 02:58

編集2019/07/19 10:49

リスト現在フリー素材サイトを作ろうとしています。

サイトはワードプレスを一から自作してまして、あとはダウンロードボタンをつけるだけです。

ですが、ふと考えたらセキュリティ的にどうなのだろうと言う疑問があります。

    • ダウンロードボタンを設置するとセキュリティ上問題はありますか?
    • ダウンロードボタン以外で気をつけることはないか。

以上、よろしくお願いします。

-------------------追記-------------------
みなさんご回答ありがとうございます。
テーマを自作しております。

セキュリティに関してあいまいだったので追記させていただくと

  • hentaimanさんがおっしゃる通り、ダウンロードボタンをつけることによってWordPressが乗っ取られないか
  • 外部からウイルスを入れられることがあるのか
  • ** リンクを改ざん**されるリスクはないか

セキュリティに関して詳しくなく、もしご存知でしたら想定されるリスクを教えていただけら幸いです。

そしてもし対策があれば、対策を詳しく書かれているサイトを教えていただけたらと思います。

以上、よろしくお願いいたします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

m.ts10806

2019/07/17 03:00

>ワードプレスを一から自作してまして 表現で誤解を生みそうなので確認ですが、「テーマを自作」「WordPressを使ってサイトを作成」「プラグインも自作」「WordPress自体を自力でカスタマイズ」 どれでしょうか? 質問にきちんと書いていただければと
m.ts10806

2019/07/17 03:01

あと「想定されるセキュリティリスク」を調べたことなどあれば出典とともに追記いただければと
CHERRY

2019/07/17 03:06

セキュリティの問題とは、どの様な問題・内容を想定しているのでしょうか?
hentaiman

2019/07/17 04:31

なんか分からんけどダウンロードボタンつける事によってワードプレス乗っ取られたりしないだろうか?みたいな心配してるのかな
guest

回答3

0

ベストアンサー

直接の回答にはなってない、ただの駄文です。

自分でどういうリスクが有るのかもわからずに対策が打てるはずもない。
ここで事細かに説明したところで、受け取り手が理解できるかどうか素養次第だし、
質問文中にでも、どういうリスクを洗い出しているのか書き出してみてほしい。

フリー素材配布とはいえ、誰がいつ、なんの素材をダウンロードできたか、
まったく管理しないわけにも行かないはず。
なぜなら、掲載してある素材の権利者が不服申立てをした場合、
速やかにダウンロードできないように手続きしないといけないし
下手すると損害賠償請求されたりもしかねない。
申し立てしてきた側の言い分が正しいかどうかを把握するためにも
サイトの利用状況をきっちり把握できるように仕組みを準備しないといけないと思う。

それ、WordPressでやる?
WordPressのユーザー管理機能でやるのか、
まったく別でアドインなど工夫してやるのかによっても変わるし、
そうした場合のなりすまし対策(メールとパスワードだけでいいのか?)とか
しっかりリスクを洗い出して対策を検討しないといけないと思う。
フリーだとしても、お金をいただかないとしても。
迷惑をかけた分の補償には費用がかかるので、そのための備えはしっかりしてほしい。
まぁサイトの仕組みでそこまでやらないのが常識的なところかもしれない。
だとすると、素材を掲載するに至るまでのフローをしっかりして、
権利侵害が発生しないように対策しないといけないって話になる。

素材によって、商用NGとか、著作権者名掲載必須とか、ライセンス条件いろいろあるので、
がんばってね。

ダウンロードボタンの設置は、そのへんの仕組み周りが固まらないと決まらないです。
表示するだけなら、ダウンロードボタンを画像として貼っておけばいいだけですが、
ネット検索のクローラーを許可するかどうかとか、
そのページをキャッシュできるようにするかどうか、
なんらかのユーザー認証を必要とするのか、などによってもうちょっと変わってきます。

投稿2019/07/17 03:39

編集2019/07/17 03:54
退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

HTMLはブラウザの開発ツールから簡単に改竄できます。
※もちろん通常は自サイトの検証や調整に使われるもので、
※あくまで自分が今観ている画面だけ一時的。他のユーザーに影響を及ぼせるものではありません

ただサーバーサイドのプログラムで組まれているWordPressのコード自体は外部からどうにかするのは困難です。

「困難です」と書いたのは脆弱性のあるような作りをしていた場合はファイルを書き換えたりすることが不可能ではないからです。
特にWordPressはWordPressを使っていると分かるHTMLですし、よほどカスタマイズされていない限りは同じ構成でしょう。
もちろんWordPress側もそれは分かっていて、脆弱性対策はされているものと思われます。
心配されている「乗っ取られたりしないか」は、むしろ管理者側が工夫すべきことが多いです。パスワードは漏れないように、簡単に推測されないように、定期的に変更するように。
※または管理画面だけ本ドメインとは別に置くとか

ダウンロードについては「指定したもの」になるわけですから、「指定されてないもの」「存在しないもの」は全てNGとするような。
意図したものだけ許可をする「ホワイトリスト形式」でのチェックを入れられてはと思います。
余計なパラメータもNGにすると尚良です。

WordPress利用者ではないので(むしろ作る側に近いから)、どういったことが可能かはわかりませんが、プラグインを導入するのであればどこまでの設定が可能か調べて検証するとか、むしろ自作するとか、いろいろな観点で充分に調査検証をしてから導入すると良いと思います。
そもそもWordPressでいいのか、とか。

ただ、どのような脆弱性があるのか基礎知識がないといけませんし、どこまでやるかの検討も必要でしょう(あまりにも厳しく入れすぎると使いにくいWebサイトになります)
IPAのサイトにあるチェックリストとか、既にコメントに挙げられている徳丸本とか、そういったもので基礎知識を身に付けてください。

心配しすぎては何もできなくなるし、何も考えないのも多くの人に迷惑をかけることになります。

WordPressは確かに広く使われているCMSですが、CMSやプラグインなどの道具がサイトのセキュリティを守ってくれるのではなく、その道具を使って自分自身がサイトと利用者を守るものなので、まずは自己防衛力をあげていくと良いのではないでしょうか。

投稿2019/07/19 12:59

編集2019/07/19 21:15
m.ts10806

総合スコア80765

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

HTMLだけで完結していれば特にセキュリティは考える必要はないでしょう

html

1<a href="1.jpg" download="1.jpg">1</a>

投稿2019/07/17 03:46

編集2019/07/17 03:47
yambejp

総合スコア114572

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

akama_666

2019/07/19 10:56

まさにこのような感じでダウンロードボタン1つだけを設置しようか考えておりました。 この方法の場合、ほとんど外部からのリンクを改ざんできないのでしょうか?
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問