返信先: 【解決済】【重大】URLからのお客様住所などの流出に関して
こんにちは。
他の人が、受注情報を見ることはできないようになっております。
Welcartで構築されたサイトのトップページのサイトURLに「wp-admin/admin.php?page=usces_orderlist&order_action=pdfout&noheader=true&order_id=1000&type=nohin」
などとIDを指定すると、他人の納品書、見積書、領収書などがログインを行わずとも閲覧できてしまう。
こちらにつきまして、まずは以下の内容を確認させてください。
「ここでのログインを行わずとも」というのはというのは会員ログインしていない状態という事かと思います。
この状態で、指定のURLを見ることができる条件は以下の通りですので、これらに該当していないでしょうか?
1. WordPressの管理者としてログインしている状態で、指定のURLを開いている
※管理者としてログインしている状態であると閲覧できます。
2. セッション情報に会員ログインした時の情報が残っている。
※会員ログインしている人が購入した受注であるかどうかをチェックしています。
そのため、会員ログインしている人以外の各種書類は見ることができないようになっています。
再度、管理者としてログインしていない状態、かつ、セッション情報が残っていない状態(ブラウザをいったん閉じて、再度たちあげる。もしくは別ブラウザで開く)でご確認いただけますでしょうか?
PAGE TOP