Q&A
それぞれのPHPファイルのコードはどのようなものでしょうか?
###前提
WordPressのセキュリティを調べていたらこちらのページを拝読しまして
すべて公開ディレクトリにあるのでPHPファイルが読まれてしまう
ということを知り驚きました。
フロントから受け取った値をバリデーションしていたのですが、その方法が丸見えだったのか!と…
###理解したこと
さっそく自分のサイトで以下試したら、ばっちり丸見えでした。
http://example.com/wp-content/plugins/plugin_name/readme.txt
ところが以下は「You die!」と表示されました。
http://example.com/wp-content/plugins/plugin_name/init.php
このファイルを見てみますと先頭に以下がありました。
defined('ABSPATH') or die('You die!');
ここで、全てのPHPファイルにはこのdefined()の処理での対策が必要で、なければ丸見えなのだと理解しました。
###質問
前置きが長くすみません。
質問は1、2、3です。
1.
以下にアクセスすると「500エラー」(このページは動作していません)でした。
http://example.com/wp-content/themes/my_theme_name/lib/cf.php
このファイルは自分が書いたものなので、先のdefined()の処理などの対策がありませんが、なぜ丸見えにならず「500エラー」になるのでしょうか。
2.
以下にアクセスすると「真っ白」でした。
http://example.com/wp-content/themes/my_theme_name/lib/valid.php
これも自分が書いたもので特に対策はしていないのですが、なぜ「500エラー」だったり「真っ白」だったりするのでしょうか?
尚、「真っ白」とは以下HTMLです。
<html><head></head><body cz-shortcut-listen="true"></body></html>
3.
「500エラー」や「真っ白」のものたちは、このままでも平気でしょうか?
それとも自分で書いたPHPファイルは、子テーマのsingle-custom.phpなども含めて全てdefined()の処理を先頭に書いた方がよろしいでしょうか?
セキュリティ関係にお詳しい方からのご回答お待ちしております。
宜しくお願い致します。
###追記
「500エラー」になったcf.phpと、「真っ白」になったvalid.phpは以下の内容です。
cf.php
カスタムフィールド関係の自作関数が並んでいるファイルで、他にはadd_action()というWordPressの独自関数もあります。
valid.php
フロントから受け取った値をバリデーションする自作関数が並んでいるだけのファイルです。
これらの自作関数は全てfunction my_xxx(){}という書き方です。
「すべて公開ディレクトリにあるのでPHPファイルが読まれてしまう」とする記事のURLを教えて下さい
ばっちり丸見えなのは PHP ではなく readme.txt ですね。defined ではなく、拡張子の問題です。
maisumakun様、質問文末に「追記」として概要を加筆いたしました。
ockeghem様、質問文の「前提」の「こちらのページ」にリンクを貼りました。
Zuishin様、ありがとうございます。PHPファイルは丸見えになったりしないのですね。そうしますとdefined()にはどんな意味が?「You die!などのメッセージを表示したいときに必要」という程度でしょうか?あと「500エラー」と「真っ白」の違いも気になります。
500 は実行時エラーです。直接実行すべきでないものが実行されているために起こるものです。真っ白は実行した結果エラーは無かったけど出力が無いということです。どちらも想定外の実行によって起こるものです。
ここに書かれている 「defined('ABSPATH') or die('You die!');」は、ワードプレスを通さず実行された場合に実行を中止しろという一連の命令で、これを入れると You die! が表示されると思います。
エラーメッセージにはクラッキングに役立つ情報が含まれている可能性があり、それを消すため、または想定外の副作用でサイトやサーバーにダメージを与えないように入れます。
エラーメッセージというのは外部から読まれてしまうのですか?!それも知りませんでした。error_logやPHPのエラーで表示されるものですよね?maisumakun様がご回答でdefined()を入れるべきと仰ったのはそういった意味もあったわけですね。なるほどなるほど。
回答2件
0
参照記事のURLありがとうございます。その記事をざっと読みましたが、
全てのファイルが公開ディレクトリに置かれる
とは書いてありますが、だから「PHPファイルが読まれてしまう」とは書いてありません。
現実問題、PHPスクリプトは通常公開ファイルに置くものなので、その状態でPHPソースが読まれたら困るでしょう。現実に読めるのは、「PHPの実行結果」であり、「PHPのソースコード」ではありません。それは、お試しになったとおりですし、簡単なスクリプトを書いてみて実験してもわかるでしょう。
このテーマについては、以前ブログ記事を書いたことがあります。
WordPressの侵入対策は脆弱性管理とパスワード管理を中心に考えよう
参照された記事はWordPressの「悪口」を書いたものですので、欠点を並べ立てているのは当然のことです。一方で、WordPressはホワイトハウスを始め世界中でもっとも多く使われているCMSです。長所も短所もあるソフトウェアですから自分の用途に適していれば使えば良いとおもいますが、少なくともこれだけ使われているソフトウェアが「ソースコードが丸見え」ということは常識的にありえないでしょう。元記事もソースコードが丸見えとは書いていません。勝手読みをしないようにしましょう。
投稿2020/03/29 23:42
総合スコア11701
まったくockeghem様のご指摘の通りで、引用元記事の筆者様には大変申し訳ないことをしてしまいました。
>「PHPの実行結果」であり
なるほど、とてもわかりやすいご説明ありがとうございます。ブログもありがとうございます(誤読のないよう注意します…)
0
ベストアンサー
カスタムフィールド関係の自作関数が並んでいるファイルで、他にはadd_action()というWordPressの独自関数もあります。
WordPressと関係ない実行からadd_action()を呼び出そうとして、エラーとなっているものと思われます。
フロントから受け取った値をバリデーションする自作関数が並んでいるだけのファイルです。
関数定義が並んでいるだけであれば、何も出力しません。
「500エラー」や「真っ白」のものたちは、このままでも平気でしょうか?
それとも自分で書いたPHPファイルは、子テーマのsingle-custom.phpなども含めて全てdefined()の処理を先頭に書いた方がよろしいでしょうか?
念のためにdefined()チェックを入れておいたほうがいいとは思います(フレームワークによっては、殆どのファイルを後者のような「関数やクラスの定義だけ」にすることでチェックを行わないこともあります)。
投稿2020/03/29 23:28
総合スコア145184
あなたの回答
tips
プレビュー
