WordPress

【WordPress】バージョン情報を削除する

2018年4月15日

こんにちは!SE ブログの相馬です。

 

 

今回は WordPress のセキュリティについて書いてみました。

 

 

 

WordPress のセキュリティーについて

 

 

このブログは WordPress で作っています。WordPress って脆弱性が頻繁にあるようで、よくアップデートしていますよね。

 

 

インターネットに公開しているだけでも攻撃の対象になる訳ですが、WordPress は世界中で抜きんでて 1 番人気がある CMS です。

 

 

面白い Web サイトがあるので共有します。WordPress がどのくらいダウンロードされているのかリアルタイムで確認する事ができます。これを見れば WordPress がどれだけ世界中で使われているのかがお分かりいただけると思います。

 

 

WordPress Download Counter

 

 

 

ですから、多くの人が使用しているので攻撃の対象になってしまう理由になります。Microsoft の Windows もその理由になるかと思います。

 

 

 

WordPress のバージョンをアップデートしなければならない理由

 

 

まず、WordPress や WordPress プラグインのバージョンが古いとハッキングされやすくなります。

 

 

プログラミング言語のマンツーマンのレッスンで有名な CodeCamp のブログで説明されていますが、ハッキングされる動画が掲載されております。

 

 

Kali Linux のように、簡単にツールを使えば、簡単に WordPress の管理者ユーザーとパスワードを探し出す事ができてしまいます。

 

 

一旦ユーザー名を分かってしまうと、あとはブルートフォース攻撃でかたっぱしから辞書で使ってパスワードを探し出します。管理者のパスワードが分かってしまったら、後は何でもできてしまいますね。。。WordPress は既に乗っ取られたしまった事になります。

 

 

WordPressの脆弱性対策として必ず知っておくべき10のこと | CodeCamp

 

https://www.youtube.com/watch?v=9tLUbsdNX88

 

 

 

WordPress とプラグインのバージョンの削除

 

 

そこで、私も WordPress を使っていますので、自分ができる事は自分で脆弱性の対策などをする事にしております。

 

 

という事で、WordPress のバージョンの削除をやってみました。また、WordPress で動作しているスクリプトのバージョンも一緒に削除しました。

 

 

こういったバージョンを隠さないと、上に書いたように悪意あるユーザーが WordPress や スクリプトのバージョンを確認して、そのバージョンの脆弱性を調べて、攻撃の対象にされる可能性があります。

 

 

WordPress のバージョンは head 要素に記載されております。以下のような感じです。

 

 

 

 

また、footer にもバージョンが記載されております。スクリプトなどは、<script> タグの後ろのほうに記載があります。このような情報は不要ですので、削除しまいましょう。

 

 

では早速、削除する方法です。下記のサイトを参考にさせていただきました。

 

 

 

 

 

 

head 内の WordPress バージョン情報を消す

 

 

function.php に下記のコードを書きます。

 

 

 

 

あるいは、function.php に以下を書きます。これで WordPress のバージョンが削除される事は確認できました。

 

 

 

 

今度は、WordPress だけではなく、script などのバージョンも全て削除するようにしてみます。

 

 

function.php に下記のコードを書きます。(上のWordPress のバージョンを既に書いてたら差し換ええます。)全てのバージョン情報(?ver=)が削除される事を確認しました。

 

 

 

 

ヘッダー情報のみになりますが、ソースを見る方法以外にも確認方法はあります。

以下のサイトから、ヘッダー情報が確認できますので、削除されているか確認されると良いでしょう。

 

 

HTTPレスポンスヘッダ情報解析ツール
https://www.searchengineoptimization.jp/http-header-analyzer

 

 

 

まとめ

 

 

いかがでしょうか。少なくとも、WordPress のバージョンくらいは削除しておいたほうが良いと思います。

 

 

ところで全然話は変わりますが、ブログのタイトルについて、問題って英単語で delete と remove と2つあると思うんですけど、こういう時ってどちらを使うんだっけ?と考えてみました。

 

 

調べてみましたところ、以下のサイトにわかりやすい説明がありましたので、共有しますね。

 

 

SDNA ローカライズチームブログ | Sony

http://www.sonydna.com/sdna/solution/pr_loc/blog/20160511.html

 

 

  • delete: ファイルなど、実体そのものが削除されるような場合
  • remove: ファイルなどの実体ではなく、一覧からの項目が削除されるような場合

 

 

私のブログでいうと、この記事自体を削除する場合は delete で、記事のタイトルを削除する場合は remove という事でしょう。

 

 

ちなみに delete という単語は、デジタル固有の世界で使いますよね?例えば、棚から本を取り除くというのは remove books from the ledge. で、delete とは使わないです。

 

 

では最後までお読みいただきありがとうございました!

 

 

 

  • この記事を書いた人

そーまん

セキュリティエンジニアやってます。
ブログ歴3年。PVは月15万PV程度。
趣味はボクシング、筋トレ、登山です。
穏やかで人見知りな性格です。

人気記事

1

こんにちは!そーまんです。 今回は、PC に適用されている GPO を確認する方法について書きました。 本題に入る前に、一応参考までにGPOの適用タイミングについての記事をここに貼りましたので、必要に ...

2

こんにちは!そーまんです。 今回は sysprep について、全体的に PC をセットアップする観点から書いてみました。長々と書いてあります。まずは前置きからです。 まずはじめに 組織では PC のラ ...

3

こんにちは!そーまんです。 今回は、グループポリシー (GPO) を使って、特定のコンピューターに対して、ドメインユーザーに ローカル管理者権限 (以下は特権と記載) を付与する方法について書きました ...

4

こんにちは!そーまんです。 今回は、Windows サインイン後に一時ユーザープロファイルが読み込まれてしまった場合の解決方法について書きました。 Windows 10 の検証環境をいじってたらサイン ...

5

こんにちは!そーまんです。 今回は、ユーザープロファイルを削除する方法について書いてみました。 企業の場合よくあることですが、1 台の PC を共有 PC として複数人で使ったり、また余り無いかもしれ ...

6

こんにちは!SE ブログの相馬です。       今回は、繰り返し文について書いてみました。PowerShell では他のプログラミング言語同様、繰り返し処理を行うことが ...

7

コマンドを使って CPU とメモリの使用率をデータで取得してみましたので、例えば PC のトラブルシューティングで問題を再現させる際にデータを取得しておくと、原因の特定に役立つ場合があるかと思います。

8

既存の PC と同じ構成で別のメーカーの PC でマスターイメージを作る際、インストールされているアプリを同一にする為に必要になるかと思います。

9

企業で多くの GPO が適用されている環境では、PC に GPO が適用されなかったりする問題が発生する場合があるかと思います。その中でも、コンピューターの構成またはユーザーの構成のどちらかで、...

10

こんにちは!そーまんです。 今回は、Windows Server 2019 で NTP サーバーと同期する方法について書きました。 NTP サーバーの必要性や時刻同期の重要性を理解することは社内のシス ...

-WordPress
-,