ワザ96

「Acunetix WP Security」でWordPressのバージョンを隠そう

攻撃者に情報を与えないようにバージョン情報を隠す

WordPressを使ったサイトは、通常だとWebページ中にWordPressのバージョンが記述されます。Webページに直接表示されるものではありませんが、Webページの表示に必要な情報を記述したHTMLの「head」タグの中にある、「meta」タグに記述されていて、ページのソースコードを見ると確認できます。

この情報自体が問題というわけではありませんが、ページにWordPressのバージョンが記述され、ソースコードを見ればわかるようになっていることで、攻撃を受けやすくなってしまうおそれがあります。

もしも、WordPressの特定のバージョンに固有の脆弱性があると明らかになった場合、悪意のある攻撃者は、世界中のWebページのデータを収集して「WordPress x.x」のように脆弱性があるバージョンが明記されたサイトを探し、優先的に攻撃するでしょう。そのような攻撃を避け、安全性を高めるために、WordPressを使ったサイトでは、バージョンがわからないようにするのが一般的です。

ここでは、基本的なセキュリティ機能がセットになったプラグイン「Acunetix WP Security」を使って、WordPressのバージョンを非表示にします。ただし、この方法の場合、WordPressにログインしている管理者アカウントのユーザーには、従来どおりバージョンが表示されます。

「meta」タグからバージョン情報を非表示にする

「meta」タグに記述されるWordPressのバージョン情報(4.0の場合)

「meta」タグに記述されるWordPressのバージョン情報(4.0の場合)

WordPress 4.0で生成されたことが表されているが、セキュリティのためバージョン情報は隠したい。

このワザで対策後の「meta」タグ

このワザで対策後の「meta」タグ

WordPressで生成されたことは表示されているが、バージョン情報が非表示になり、わからないようになった。ただしWordPressにログインしているとき(管理者アカウントのみ)は、従来どおりバージョン情報が表示される。

ヘッダーからWordPressのバージョン情報を隠すには

1プラグインの設定画面を表示する

プラグインの設定画面を表示する

2WordPressのバージョンが表示されないように設定を変更する

WordPressのバージョンが表示されないように設定を変更する

こぼれ話多機能な中から特に重要な項目だけを利用する

「Acunetix WP Security」は非常に多機能で、データベースやファイルの設定など細かな項目まで、設定の確認と変更が可能です。ただし、対応する項目が細かいために、すべての設定をAcunetix WPSecurityの推奨どおりに行うのは難しく、レンタルサーバーの環境によっては、そもそも対応できない項目もあります。この連載では、影響の小さい細かな項目については無視し、特に重要な、バージョンの非表示と、ファイルやディレクトリのパーミッションの設定(ワザ97)について解説します。この2つの設定ができていれば、大きな問題はありません。