2021.05.05

【WordPress】【セキュリティ対策】公開不要なページ・ファイルを制御しよう

こんにちは、webエンジニアのゾノ( @ozonosho )です。

前回の記事に続いて、今回もWordPressデフォルト設定のままだとセキュリティ上宜しくないポイントについて書きます。

今回は公開不要なページ・ファイルの制御についてです。

WordPressインストール時に設置されるファイルの中には、公開不要なページを生成するものやアクセスするとサーバーエラーやデータベースエラーを表示してしまうものがあります。

たとえば、WordPressインストールディレクトリ直下に設置される、
・readme.html
・license.txt
・wp-config-sample.php
などです。

ダメな例として、僕の運営するサイト『ココトモ』に繋いでみましょうw

https://kokotomo.com/readme.html
https://kokotomo.com/license.txt
https://kokotomo.com/wp-config-sample.php

最後の1つなんてデータベース接続エラーまで出していて、そんなページに自由にアクセスできるだけでもだいぶ危ういです。また、このサイトがWordPressで作られていることもすぐに特定できてしまいます。

そのため、これらのファイルは削除するほうがベターです。

上記についてはファイルを削除するだけで解決しますが、ファイル削除では解決できない下記のような問題もあります。

問題①
https://ドメイン/wp-json/wp/v2/
に繋ぐことでバージョン情報や著者情報が見えてしまう。
問題②
https://ドメイン/feed
に繋ぐことでもバージョン情報や著者情報が見えてしまう。
問題③
重要ファイルである、
https://ドメイン/wp-config.php
https://ドメイン/wp-mail.php
https://ドメイン/wp-includes/vars.php
などにアクセスできたり、サーバーエラーが表示されたりしてしまう。

問題①の対策

下記記事でご紹介した、WP REST APIのアクセス回避対応をすることで解決します。

【WordPress】【セキュリティ対策】ログインユーザー情報は非表示にしよう

こんにちは、webエンジニアのゾノ( @ozonosho )です。 セキュリティ基準がしっかりしている企業案件の場合、WordP......

→この記事を読む

問題②の対策

下記記事でご紹介した、RSSフィード配信機能の無効化対応をすることで解決します。

【WordPress】【セキュリティ対策】不要なRSSフィード配信は無効化しよう

こんにちは、webエンジニアのゾノ( @ozonosho )です。 前回の記事に続いて、今回もWordPressデフォルト設定の......

→この記事を読む

問題③の対策

外部から重要ファイルにアクセス自体できなくするため「.htaccess」に下記のようなコードを加えます。

さらに、wp-includesやwp-contentへのアクセスを制限するために下記のようなコードも加えると万全です。

この対策をおこなうと外部から該当ファイルにアクセスした際に適切なエラーページを表示するようになるので安全です。

おわりに

以上、今回の記事ではWordPressの公開不要なページ・ファイルの制御について紹介させていただきました。

当サイトではWordpressのカスタマイズ制作依頼を請け負っています。運営中のサイトで何かお困りのことがある方は、下記の記事を参照のうえ気軽にご相談ください。

どんな機能・要望でもOK!『Wordpressのカスタマイズ制作』はじめました。

こんにちは、webエンジニアのゾノ( @ozonosho )です。 このたびWordpressのカスタマイズ制作をはじめました。......

→この記事を読む
チャレンジを応援する無料オンラインコミュニティ運営中!

生きづらさを抱える人のチャレンジを応援する無料オンラインコミュニティ『Cree』をスタートしました。ただいま参加者100名突破!お互いの目標を共有したり、就労・就職のサポートするサービスを無料で提供しています。

オンラインコミュニティの詳細はこちら

ゾノについて

お仕事のご相談はこちら