はじめまして。
こちらのサイトで質問させていただくのは初めてでよくわからないところもあるのですが、お手柔らかにお願い致します。
現在PHPの勉強にとWordPressのソースを読みながら(ところどころパクりながら)簡易的なCMSのようなものを作っています。
WordPressは、index.php=>(require)=>wp-load.php=>(require)=>/wp-includes/wp-*.phpという流れで大量のモジュールを読み込んでいるようなのですが、
もしも悪意のある(?)攻撃者が/wp-includes以下のような他のPHPファイルからrequireされるべきファイルに直接アクセスした場合、定数が未定義だったりして色々と不具合が起こるのではないのかと思います。
(管理ページのモジュールだったりした場合セキュリティ問題になりかねないのでは...?!)
そこで、XAMPPで構築したWordPressの/wp-includes/以下のphpファイルで実験してみると、何も出力しない(真っ白)ものもあれば、Fatal error: Call to undefined functionを吐くものもありました。
それらファイルのソースを見てみても、ただ単に関数を呼び出しただけで、特に対策がされているようには見えませんでした。(少なくとも私のスキルではわからなかった)
WordPressほどのアプリケーションが無対策ということはないと思うのですが・・・
そこで、そういったファイルへのアクセス拒否対策にはどのようなものが考えられるでしょうか?(.htaccessを除く)
もしかしたら特に心配する必要も無いのでしょうか...?
お時間がありましたらご教示願います。
回答2件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2015/02/11 04:34