突然ですが、あなたが利用しているWordPressのバージョン情報が外部に漏れているとしたらどうしますか?
一瞬ドキッとした方は多いのではないでしょうか?
(ある意味ドキッとした方はWordPressのことがわかっている証拠とも言えますが)
しかし残念ながら、漏れている可能性が全くゼロではありません。
今回は、WordPressのバージョンが外部に漏れていないかを確認する方法と、その対処法をご紹介したいと思います。
利用しているWordPressバージョンは外部に漏れている?
WordPressを利用してブログやサイトを作成している方は、HTMLのコード内に自動的に利用しているWordPressのバージョンが表示されてしまっている可能性があります。
漏れているかどうかをチェック
まず、ご自身のWordPressサイトのバージョン情報が外部に漏れていないかをチェックしましょう。
方法は、ご自身のサイトを表示させて右クリックから「ソースを表示」ボタンをクリックします。
ソースコードのhead内に、下記のような記述がないか確認してみましょう。
<meta name="generator" content="WordPress 4.6.4” />
上記の場合、WordPress4.6.4のバージョンを利用していることがわかります。
また、head以外にもfooter内に以下のようなコードの記述がある場合は、利用しているバージョン情報が漏れてしまっています。
<script type='text/javascript' src='https://mw-s.jp/wp-includes/js/wp-embed.min.js?ver=4.6.4’></script>
WordPressのバージョンが漏れていることのリスク
改めてWordPressのバージョンが外部に漏れてしまっていることのリスクを書いておきたいと思います。
他の記事でもご紹介してきましたが、WordPressとはオープンソースと呼ばれるCMSツールで世界中で一番多く利用されているCMSです。
しかし、世界中で利用されているということは、その分、ハッカーなどの第三者からの攻撃を受けやすく常に危険と隣り合わせのツールとも言い換えることができます。
攻撃に対処するために、WordPressは常に最新のバージョンにアップデートを繰り返しておくことが重要ですが、今回のように、ソースコードに直に表示されてしまっていては、ハッカーからの攻撃を受けるリスクが必然的に高まってしまいます。
ソース内のWordPressバージョン情報を削除して対応
WordPressのバージョン情報がソースコード内に記述されている場合のリスクを理解していただけたと思います。では、対策としてどうすればいいのでしょうか?
それは、記述されているWordPressバージョン情報を削除してみられなくしてしまうといった方法です。
head内に記述されているバージョン情報を削除する方法
まず、head内に表示されてしまっているWordPressのバージョン情報を削除するには、functions.phpファイルに以下のコードを追加することで、削除することができます。
編集・追記したことで管理画面にログインできなくなったりサイトが真っ白になってしまう場合もあるため、必ずバックアップを取得して追記するようにしてください
remove_action('wp_head', 'wp_generator');
その他のバージョン情報を削除する方法
head内以外にも、読み込まれているバージョンの情報やプラグインの情報もソースコードに表示されてしまっている場合があります。
その場合でも攻撃を受けやすい状態のため、ついでにそちらも削除しておきましょう。
こちらも同様に、functions.phpファイルに以下の記述を追加だけでOKです。
function remove_cssjs_ver2( $src ) { if ( strpos( $src, 'ver=' ) ) $src = remove_query_arg( 'ver', $src ); return $src; } add_filter( 'style_loader_src', 'remove_cssjs_ver2', 9999 ); add_filter( 'script_loader_src', 'remove_cssjs_ver2', 9999 );
まとめ
いかがでしたでしょうか?
今回は、ソースコード内のWordPressバージョン情報を削除してセキュリティ力をあげる施策をご紹介しました。
正直、他の方法でもWordPressのバージョンを解析されてしまうことは十分にあると思います。
しかし、今回ご紹介したようにバージョン情報がダダ漏れの状態では、素人目線でも簡単にわかってしまうため、攻撃されてしまうリスクが高くなることも事実です。
必要最低限の対策を行うのも、セキュリティ対策の一環ですので、ぜひご自身のWordPressサイトをチェックしてみて、対策が必要であればすぐに実施してみてください。
最後までお読みいただきありがとうございました。