PukiWiki2026 v1.0.1
v1.0.0 からのメンテナンスリリースです。ディレクトリ構成の整理、認証・CSRF・Unicode セキュリティの強化、添付ファイル上限の拡大、スキン利用ドキュメントの整備が中心です。
v1.0.0 からの主要変更
ディレクトリ構成
- Wiki 運用に必要なファイルを
pukiwiki/配下へ集約(案 B 改)。デプロイ / バックアップ単位はindex.php+pukiwiki/ - 公式同梱ファイル(
COPYING.txt・README.txt等)をpukiwiki/へ移動。root はindex.php・.htaccess・プロジェクト文書のみ vendor/・patches/を削除(上流 diff は git タグupstream-1.5.4-utf8で代替)- スキン構成を v1.0.0 方式に復元(
skin/直下)
セキュリティ
- SEC-U01(Fixed) — Unicode BiDi/RTL 制御文字・ゼロ幅文字によるページ名なりすましを拒否(
lib/security.php、Closes #81) - セキュリティ再監査(2026-06-07) —
PKWK_PAGENAME_BYTES_SOFT_LIMIT誤参照を修正(SEC-M09)。プラグイン POST フォームへ CSRF トークン自動注入(SEC-M10 部分対応) - ログイン済みは
$adminpass不要 — 凍結・rename・attach 管理者操作等でフォームログイン済みなら再入力をスキップ - 初回ログイン強制パスワード変更 — デモ用
editor/editorログイン時、変更完了まで Wiki 操作をブロック - デフォルト編集者パスワード — 初期値を
passからeditorに変更(必ず変更してから使うこと)
添付ファイル
- 添付上限を
pukiwiki.ini.phpの$attach_max_filesizeで設定可能に(既定 2GB)
ドキュメント
docs/PUKIWIKI154-SKIN.md— PukiWiki 1.5.4 由来スキン利用方針、legacyskin/パス吸収の任意 rewrite 手段docs/SECURITY-AUDIT.md— 2026-06-07 再監査、Unicode/BiDi 攻撃テストケース追記
その他
- フッタに PukiWiki2026 クレジット(PHP バージョン・convert time 含む)を全スキンで統一表示
- 起動時ディレクトリパーミッションチェック(
lib/perm.php、Unix/Linux 本番向け) - 強制パスワード変更・ini 書き込みまわりの複数バグ修正
詳細
完全な変更一覧は CHANGELOG.md を参照してください。