セキュリティの観点から「footer-meta」クラス内でのauthorリンクを削除して欲しい | 要望 | Cocoon フォーラム

サイト内検索
書き込みの前に以下の3点をご確認ください。
  1. 1つのトピックにつき1つの質問を書き込んでください
  2. 不具合・カスタマイズ対象ページのURLを提示高速化を無効にしてください
  3. 該当部分のキャプチャ・環境情報とともに書き込んでいただけると助かります

フォーラム利用ガイドリンク

  1. フォーラムガイドライン
  2. よくある質問と答え(FAQ)
  3. サポート対象外のケース
  4. 原因不明の不具合用トラブルシューティング
  5. トピックにHTMLを貼り付ける方法(推奨ツール:notepad.pw
  6. 真っ白画面でのエラーメッセージの確認方法 
  7. ブラウザ環境チェックツール

フォーラム質問後、問題等が解決した場合は結果を書き込んでいただけると幸いです。同様の問題で調べている方には、結果が一番気になる部分となります。

また、問題の解決に至った場合には、トピック冒頭の「解決済み」リンクをクリックしていただけますと幸いです。

wpForoの解決済みリンク

また、有用な返信があった場合は「いいね!」リンクもご活用ください。返信者の励みになります。

wpForoのいいねリンク

「いいね!」機能はフォーラム登録者のみが利用できる機能です。

CC BY-ND 2.1)準じていれば(リンクを貼っていただければ)転載も自由です。カスタマイズ記事を書く際にコード等をコピペ利用していただいて構いません。

フォーラムの使い方がよくわからない場合は、テストトピックで自由にテストしていただいて構いません。

最近の書き込みはこちら。

詳細なカスタマイズ依頼をするならこちら。

フォーラムのTwitterアカウント(@CocoonForum)はこちら

スポンサーリンク
セキュリティの観点から「footer-...
 
Share:
Notifications

[固定] セキュリティの観点から「footer-meta」クラス内でのauthorリンクを削除して欲しい  


みるみ
(@mirumi)
Estimable Memberサイト
参加: 6か月 前
投稿: 134
みるみ - Twitter
2020年2月1日 18:20  

お世話になっております。

 https://[自分のドメイン]/?author=1

へのアクセスによって投稿者IDがバレたり、「comment-author-◯◯」などの投稿者クラス名での露呈などへの対策は有名なので実行済でした。

今回たまたま自サイトのソース内で自分の投稿者ID(WordPressログインID)で検索してみたらまさかの出力されている部分を見つけてしまいました。

tmp/footer-meta.phpにて出力されている

<div class="footer-meta">
<div class="author-info">
<span class="fa fa-pencil" aria-hidden="true"></span> <a href="<?php echo $url; ?>" class="author-link">
<span class="post-author vcard author" itemprop="editor author creator copyrightHolder" itemscope itemtype="https://schema.org/Person">
<span class="author-name fn" itemprop="name"><?php echo $name; ?></span>
</span>
</a>
</div>
</div>

このブロックでした(自分のせいか不明ですがそもそもこのあたりの表示自体が自分はdisplay:none;かなんかになっていたのか気付きませんでした)。

 https://[自分のドメイン]/author/[投稿者ID]

というリンク出力がありました。

悪意を持った者が「author」などでソース内検索してくる可能性を考えるとこのリンクは変更した方がいいのかと思うのですが、いかがでしょうか?

よろしくお願いいたします。

 


引用
わいひら
(@yhira)
メンバーサイト Admin
参加: 2年 前
投稿: 8715
わいひら - Facebookわいひら - Twitter
2020年2月1日 20:37  

現在の仕様で、ログインID入りauthor URLが出力されるのは、WordPress関数のget_author_posts_urlの仕様なので、それに従っている感じではあります。
出力URLを変更するということであれば、get_author_posts_url関数の仕様変更をWordPress側に提案していただくしかないかもしません。
今のところ、出力しないように対応するには、Edit Author Slugプラグインを利用していただくしかないかもしれません。
https://ja.wordpress.org/plugins/edit-author-slug/

いずれ同様のものは出来ればと思うのですが、中を覗くと複雑だったので、後回しにしてあります。
なにか、コピペ一発で対応できそうな記事とかでもあれば、すぐにでも対応はできるかと思いますが当時調べたときなさげだったので。
僕も他にやらなければならないこともあるので、プラグイン内を深く調べる時間もなかなかなくて^^;

This post was modified 2か月 前 by わいひら

返信引用
みるみ
(@mirumi)
Estimable Memberサイト
参加: 6か月 前
投稿: 134
みるみ - Twitter
2020年2月1日 20:49  

やはりご検討されたことがあったのですね、恐れ入ります。

とりあえず僕もそのブロックを丸ごとコメントアウトすることで対応できていますので、お手数をおかけすることなく問題解決はできました。

一応のご報告も兼ねてでしたので、これにてクローズとしていただいて結構です。ありがとうございました!


わいひら 件のいいね!
返信引用
わいひら
(@yhira)
メンバーサイト Admin
参加: 2年 前
投稿: 8715
わいひら - Facebookわいひら - Twitter
2020年2月1日 21:02  

開発の一番最初(2年前くらい)に実装しようとプラグインのソースコードを見たんですけど、思っていたより複雑で、そっ閉じした記憶があります^^;
当時もっと簡単にできるものと思っていました。
今なら、ある程度わかる可能性もなきにしもあらずなので、もう一度見てみようかと思います。
とりあえず、できれば実装したい部分なので、TODO的にトップに固定はしておこうと思います。

This post was modified 2か月 前 by わいひら

みるみ 件のいいね!
返信引用
Akira
(@akira)
Reputable Memberサイト
参加: 2年 前
投稿: 498
Akira - FacebookAkira - Twitter
2020年2月1日 21:10  

あれ?その部分は、このテンプレートですよね?

footer-meta.php

profile_page_url() が優先されているので、WordPress 管理画面 → ユーザー → あなたのプロフィールの「プロフィールページURL」に入力すれば リンクを変えられる気がします。

とりあえず僕もそのブロックを丸ごとコメントアウトすることで対応できています

おそらく ↑ が原因で、みるみさんのサイトの投稿ページや固定ページで構造化データのエラーが起きてます。


みるみわいひら 件のいいね!
返信引用
わいひら
(@yhira)
メンバーサイト Admin
参加: 2年 前
投稿: 8715
わいひら - Facebookわいひら - Twitter
2020年2月1日 21:48  

そうそう、そうでした。
Akiraさんが書かれているように、authorリンクのセキュリティー的な面を回避するために、profile_page_url() を実装したんでした。
完全に忘れていた^^;


返信引用
みるみ
(@mirumi)
Estimable Memberサイト
参加: 6か月 前
投稿: 134
みるみ - Twitter
2020年2月1日 22:30  

>Akiraさん

なんと、わざわざこんなトピックにご足労いただいて構造化データまでチェックしてくださるなんて…!
たしかにエラーが出ておりましたが、おっしゃるような変更をしたところ無事所望のURLにリンクを貼り替えることができました。

本当にありがとうございます!

>わいひらさん

さすがと言いますか、やっぱりちゃんと解決できるような実装をなさっていたんですね。笑
安心いたしました!!


わいひら 件のいいね!
返信引用
わいひら
(@yhira)
メンバーサイト Admin
参加: 2年 前
投稿: 8715
わいひら - Facebookわいひら - Twitter
2020年2月2日 19:49  

そうなんですけど完全に忘れてました^^;
当時何か対策しておかないとというのはあったのかも。
余裕があれば、Edit Author Slugを見て、根本的な解決ができればと思います。


みるみ 件のいいね!
返信引用

返信する


許可された最大ファイルサイズ 5MB

 
Preview 0 Revisions Saved
Share:
スポンサーリンク
わいひらをフォローする
おすすめサーバー(コスパ・バックアップ重視型)

性能も兼ね備えながら安くブログ運営を開始できる点においてのNo.1。

◎安く始められる
◎LiteSpeedを用いた高速サーバー(完全SSD)
◎http/3(高速化プロトコル)に対応
◎東京・大阪でリージョン選択が可能
◎プランのアップ・ダウングレードが自由自在
◎同サービス内でドメイン管理が可能
◎ディスク容量が多い
◎転送量が多い
◎毎日無料バックアップ(14日分)
◎DBは14日以内なら無料自動復旧可能
◎ファイルも14日以内なら無料自動復旧可能
◎アダルト・出会い系サイト可
◎ドメインとサーバー代のチャージ払いが可能
○サーバ引っ越し依頼が可能(有料)

サービス運営期間:1年8ヶ月

1年以上の契約をする場合は、クーポンコード入力でさらに10%割引(※2020/6/30まで)。

クーポンコード:PK4JK4RJ

クーポンの使用方法はこちら

とにかく速い。サイトに表示スピードを求めるならココ。

◎nginxを用いた高速サーバー(完全SSD)
◎プランのアップ・ダウングレードが自由自在
◎同サービス内でドメイン管理が可能
◎ディスク容量が多い
◎転送量が多い
○http/2(高速化プロトコル)に対応
◎毎日無料バックアップ(14日分)
◎DBは14日以内なら無料自動復旧可能
◎ファイルも14日以内なら無料自動復旧可能
◎サーバ引っ越しツールあり(無料)
○サーバ引っ越し依頼が可能(有料)
◎ドメインとサーバー代のチャージ払いが可能

サービス運営期間:1年6ヶ月

プラン変更で負荷対策が行えるので、ブログ向きのレンタルサーバーです。

◎LiteSpeedを用いた高速サーバー(完全SSD)
◎http/3(高速化プロトコル)に対応
◎プランのアップ・ダウングレードが自由自在
◎同サービス内でドメイン管理が可能
◎転送量が多い
◎ディスク容量が多い
◎毎日無料バックアップ(14日分)
◎DBは14日以内なら無料自動復旧可能
○ファイルは14日以内なら無料復旧可能(※手動)
◎アダルト・出会い系サイト可
◎ドメインとサーバー代のチャージ払いが可能
○サーバ引っ越し依頼が可能(有料)

サービス運営期間:3年

安定感抜群のサーバーです。あまり急激なアクセス変動がないアフィリエイトサイトに向いています。

◎nginxを用いた高速サーバー(完全SSD)
◎老舗サーバーなので安定感抜群
◎ディスク容量が多い
◎転送量が多い
◎同サービス内でドメイン管理が可能
○http/2(高速化プロトコル)に対応
○毎日無料バックアップ(14日分)
○DBは7日以内なら無料自動復旧可能
×ファイルは有料かつ手動での復旧
×プラン変更でCPUのスペックアップができない
×プラン変更しても即時反映されない
×アダルト・出会い系サイト不可

サービス運営期間:16年

格安な値段で始められる高機能サーバーです。
性能も備えつつ最安ならここ。
サイトを続けるうちにアクセスが増えれば、プランのアップグレートで対応可能です。

◎LiteSpeedを用いた高速サーバー(完全SSD)
◎激安プランが用意してある
◎値段あたりのスペックが高い(コスパ良し)
◎サーバ引っ越し依頼が可能(無料)
◎アダルト・出会い系サイト可
○http/2(高速化プロトコル)に対応
△プランのアップは可能だがダウンは不可
△毎日自動バックアップ(1日分)
△前日のバックアップからのみ復元できる(無料)

サービス運営期間:4年

Cocoon
タイトルとURLをコピーしました