こんにちは!最近日々ブログを更新することが日課になりつつあります。最近家でも検証を多めにすることが習慣になりつつあり、それをブログに書くことでモチベーションも保っています。
さて、今回はちょっとしたセキュリティ対策というのを書いていきたいと思います。これもどっちかというと汎用的に使える備忘録として読んでいただけたらなと思います。
バージョンを表示するデメリット
もうこれはズバリ、一言でいうとセキュリティ的に良くないの一言につきると思います。けれども、なんでバージョンがばれることでセキュリティによろしくないの??と思った方もいるかもしれません。
あまり長々と説明するのも読者の方々がしんどいと思うので、これも端的に言います!!バージョンがばれることによって、そこに潜んでいる脆弱性をついて攻撃することも簡単になります!例えば、PHP 5.6 を使って、サイトを作っていたとします。そのサイトを攻撃しようと思った人が、何らかの方法でPHP 5.6 でこのサイトは作られているぞ!!と見つけたとします。
この時に一番最初に検索するのは恐らく、PHP 5.6 の脆弱性ってなんだろう??だと思います。そしてその脆弱性に対しての攻撃方法を見つけた攻撃者はサイトに対して攻撃を試してみます(この攻撃自体は犯罪にあたるので、絶対に他の人のサイトに対してしないでください)。
そしてそれがサイトの改ざんにつながったり、なんかある日突然変なサイトに飛ばされるぞといったことが発生したりすることもあるかもしれません。。。結論、バージョンは隠そうねということになるのです!!
WordPress のバージョンはどうやって隠すの??
これはとても簡単です。Wordpress をサーバーにデプロイしている人は、functions.php というファイルがあると思います。そこに一行追加していくだけです。
恐らく実行される順番とは関係ないだろうなと推測したので、一番下の行に追加しました。
コメントを追加してあげると分かりやすいかもですね。
# wordpress バージョン非表示
remove_action( 'wp_head', 'wp_generator' );他にもJavascript とかCSS のバージョンも隠せるらしいのでこのwordpress バージョン非表示の更に下に以下の記述を書いていきましょう。一言でいうと、version 表示を空にしているので、それで表示させないようにしている記述ですね。
function remove_src_wp_version( $dep ) {
$dep->default_version = '';
}
add_action( 'wp_default_scripts', 'remove_src_wp_version' );
add_action( 'wp_default_styles', 'remove_src_wp_version' );ただ、この方法を紹介したのはいいものの、サーバーとかプログラミングはあまり経験がないので、触るのは心もとないという方もいるかもしれません。そんな方のために、バージョン非表示にするplugin もあるみたいです!名前は、「Meta Generator and Version Info Remover」というらしいです。私は特に使っていませんが、もしplugin で管理したいよといった方はお勧めです!!
まとめ
ここまでWordpress のバージョンの隠す方法を書いていきましたが、Wordpress は最新バージョンにすることが最大のセキュリティ対策になると思いますので、できればバージョン常に最新にすることを推奨します!!ただ、その時もバージョンを隠すという作業は必要だと思うので、これを参考にしてみてください。
参考サイト
コメント