2021.05.04

【WordPress】【セキュリティ対策】不要なRSSフィード配信は無効化しよう

こんにちは、webエンジニアのゾノ( @ozonosho )です。

前回の記事に続いて、今回もWordPressデフォルト設定のままだとセキュリティ上宜しくないポイントについて書きます。

今回はRSSフィード配信機能の無効化についてです。

WordPressで作られたサイトは「https://ドメイン/feed」というURLに接続することでフィード情報を取得できます。

例:https://cree.fun/feed/

そして、フィード情報のページにはWordPressのバージョン情報や、投稿ごとの著者名が記載されています。

これらの情報は共有する必要が無い限り第三者に公開しないほうが安全です。
そのため、RSSフィードの配信が不要なサイトの場合、フィード配信機能を無効化することが推奨されます。

フィード配信機能を無効化する方法は、ググると「functions.php」に下記のコードを追加する方法が出てきます。

※先に伝えると下記方法だと対策が足りません

たしかにこれでフィード配信は無効化されます。

ただ、、、利用しているサーバーによっては、フィード配信を無効にした状態で「https://ドメイン/feed」に接続するとXMLエラーが出て、WordPressの情報も表示されてしまうんですよね。

確実に404エラーを表示させるためには、上記に加えて「.htaccess」に下記のコードを挿入してください。

この対応をすることで、正しく404エラーを表示し、第三者にたいしてWordPressで配信されるフィード情報を隠すことができます。

おわりに

以上、今回の記事ではWordPressのRSSフィード配信を無効化する方法を紹介させていただきました。

当サイトではWordpressのカスタマイズ制作依頼を請け負っています。運営中のサイトで何かお困りのことがある方は、下記の記事を参照のうえ気軽にご相談ください。

どんな機能・要望でもOK!『Wordpressのカスタマイズ制作』はじめました。

こんにちは、webエンジニアのゾノ( @ozonosho )です。 このたびWordpressのカスタマイズ制作をはじめました。......

→この記事を読む
チャレンジを応援する無料オンラインコミュニティ運営中!

生きづらさを抱える人のチャレンジを応援する無料オンラインコミュニティ『Cree』をスタートしました。ただいま参加者100名突破!お互いの目標を共有したり、就労・就職のサポートするサービスを無料で提供しています。

オンラインコミュニティの詳細はこちら

ゾノについて

お仕事のご相談はこちら