WordPress

WordPressのバージョン情報を隠して攻撃者に余計な情報を与えない方法

WordPressのソースコードには、普通にインストールされた状態だと、バージョン情報が明記されています。

WordPressのバージョン情報

この情報が、ソースコードにあったからといっても、すぐに攻撃されるというわけではありません。

しかし、WordPressの脆弱性が報告されているバージョンをうっかり更新せずに使っていれば、攻撃者はそのバージョンで運用されているWordPressサイトを効率よく探しだすことが可能になります。

あえてバージョン情報を公表することのメリットはないのですから、はじめから表示させないで置いたほうが良いでしょう。

もちろん、バージョン情報を隠したからといって、セキュリティが高くなるわけではないので、WordPressの新しいバージョンが出たら、まめに更新するのは前提ですので、そこは勘違いしないでください。

プラグインを使ってバージョン情報を隠す方法

Acunetix Secure WordPressというプラグインをインストールすれば、簡単にバージョン情報を隠すことができます。

Acunetix Security WordPress

プラグインを有効にすると、「Secure WP」という項目が現れるので、「設定」メニューをクリックします。

Acunetix Secure WordPress

設定のページで「Hide WordPress version for all users but administrators」にチェックを入れて、「Update settings」ボタンをクリックします。

 

Acunetix Secure WordPress

これで、管理者以外のユーザーからは、WordPressのバージョン情報は隠された状態になります。

しかし、ちょっと問題が。。。

ただし、このプラグインは最終更新が今から2年前となっており、最近のWordPressのバージョンにおいて、未検証となっています。

一応、私の環境(バージョン4.9.8)では動いていましたが、おそらく開発が止まっていて、今後もアップデートされる見込みは薄い模様です。

なので、初心者のかたには難しいかもしれないけど、プラグインを使わないで、バージョン情報を隠す方法をとることをおすすめします。

functions.phpに記述してWordPressのバージョンを隠す方法

やり方はとてもかんたんで、使用中のテーマに含まれているfunction.phpファイルを開いて、最後の行に1行書き足すだけです。

function.phpファイルは、(/wp-content/themes/テーマ名/functions.php)のようにテーマフォルダの中にあります。

これをテキストエディタなどで開き、以下のコードを書き足します。

これで、WordPressのバージョン情報は表示されなくなります。

しかし、JavaScriptやCSSにもバージョンが表示される

じつは、WordPressのバージョン情報を隠しただけでは片手落ちなんです。

JavaScriptやCSSにも下記のように、利用するテーマによってはバージョン情報が表示される場合があります。

jsやcssにも表示されるWPバージョン情報

これも消すためには、function.phpに以下のコードも追加しておきます。

参考サイト:https://digwp.com/2009/07/remove-wordpress-version-number/

Related posts

WordPressのログイン画面をカスタマイズする方法

ItSpaceBiz