クライアントから依頼を受けて WordPressで構築したサイトを、クライアントがセキュリティ調査会社にセキュリティ診断の依頼をしたそうです。
その結果、「セッション管理の不備」として「手作りセッション管理機能の利用」という指摘を受けました。
具体的な指摘内容は、以下の通りです。
セッション管理において、言語やミドルウェアにて標準で提供されるセッション管理機能を使用せず、独自のセッション管理機能を使用しています。
ミドルウェア固有のセッション管理機能を使用している場合についても、そのセッション管理機能が安全とは言い切れない場合があるため、指摘とする場合があります。
試験対象の画面がログイン画面ですので、ログイン認証におけるセッション管理が WordPress固有の処理で構築されている、ということを指摘していることになるのだと思いますが、WordPressは固有のセッション管理で行われているのでしょうか?
WordPressですので、PHPでセッション管理の処理が作られている、ということになるわけですよね?
回答1件
あなたの回答
tips
プレビュー