WordPressを使っていることを隠しても無駄だという話

WordPressは世界のウェブサイトの約2割を動かしているぐらい有名なCMSです。そのためハッカーのターゲットにもなりやすいのでセキュリティ対策を怠ってはいけません。

ネットにはWordPressのセキュリティについて解説したページがたくさんあります。セキュリティプラグインの導入、ユーザーの権限割り当て、FTPを使わないこと、パスワードの強度、ユーザー名を隠す、ログイン画面を隠す、2段階認証を取り入れる、WordPressを最新にアップデートすること、などなど。

そのなかに、「そのサイトがWordPressを使っていることを隠すようにしよう」というアドバイスがあります。WordPressであることを隠せればWordPressにターゲットを絞ったハッキングをされにくくなるので真っ当なアドバイスに思えます。

私もそう思っていました。

でも

WordPressを使ってることを隠すのは無理!

なんです!WordPressを使っているかどうかなんてハッカーが調べる手段は無数にあります。

  • ドメインに「/wp-login」や「/wp-admin」と追加する
  • HTMLコードの中に「wp-content」を探す
  • head内にWordPressバージョンを探す
  • プラグイン出力
  • style.cssのテーマ情報
  • API

などなど。WordPressを使っていることを隠すのは不可能なんです。むしろWordPressを使っていることを隠そうとして特別なプラグインを入れたりすると不具合が起きる可能性があります。だってWordPressを大幅に変えてしまうんですから。

WordPressのバージョンを隠すのも無意味

セキュリティに関するアドバイスの中にWordPressのバージョンを隠しましょうというのがあります。WordPressデフォルトではheadタグ内に

<meta name="generator" content="WordPress 4.7.2" />

のようにバージョンが表示されてしまうのです。そこでしばしば

remove_action('wp_head', 'wp_generator');

をfunctions.phpにコピペしておけばWordPressのバージョンを隠せますよと….。

しかしこれは意味がありません。というのもドメインに「/readme.html」と追加するとWordPressのバージョンがわかってしまうのです。例えば当ブログでしたら「http://taro-note.com/readme.html」となります。ご自分のサイトでも試してみてください。

そこにアクセスすると

Version 4.7

とドカドカと表示されるではありませんか!?これはWordPressのルートディレクトリにあるreadme.htmlが参照されているためです。

まとめ

WordPressを使っていることを隠すのは諦めましょう。隠せないからです。セキュリティ対策としては基本に充実に

  • パスワードを推測されにくいものにする
  • ユーザー名を推測されにくいものにする
  • ファイル・ディレクトリのパーミッションを適切に設定する
  • WordPressやプラグイン、テーマを常に最新にする
  • 公衆WifiでWordPressの管理画面に入るときはVPNを使う
  • FTP接続はなるべく使わない
  • セキュリティプラグインを入れる

といったことをきちんとしておきましょう。

Pocket