WordPressに関するメッセージの詳細解説
| ID | 深刻度 | タイトル | メッセージ | メッセージ詳細解説 |
|---|---|---|---|---|
| wp001 | notice | WordPress 設定の漏えいリスクの検知 | インターネットからアクセス可能な領域に、wp-config.phpのバックアップファイルが存在しています。削除、もしくは非公開領域に移動してください。 | wp-config.phpは、WordPressが接続するデータベースの接続情報や暗号化に利用する文字列が記載されています。万が一、このファイルが読み取られてしまうと、データベースの改ざん、暗号化の突破による不正アクセスに繋がる可能性があります。 wp-config.phpのバックアップが必要でないものは削除、必要であるものは公開領域外に移動してください。 |
| wp002 | critical | WordPress不正ログインリスクの検知(1) | xml-rpc.phpは、ブログ投稿アプリなど他のツールからWordPressを利用するために設けられたものです。ログインページとは異なり人間が目にすることがないため、保護しなければならないという意識が働きにくく、DOS攻撃やブルートフォース攻撃の標的となりがちです。 無効化するには、サーバの設定でxmlrpc.phpへのアクセスを遮断する方法と、WordPressのプラグインで無効化する方法があり、いずれも有効な手段と言えますが、xmlrpc.phpのファイルを削除するのは、アップデートの際にファイルが再配置されてしまう可能性があり、望ましい方法ではありません。 | |
| wp003 | critical | WordPress不正ログインリスクの検知(2) | WordPressへのログインは、ユーザーID/メールアドレスとパスワードでの認証が用いられており、サイトの乗っ取りの目的でブルートフォース攻撃が行われることは珍しくありません。これの防止策は、第一にパスワードの複雑化(英数字+記号の10桁以上のランダムな組み合わせ)が求められますが、認証の多段化(第一にIP制限、IP範囲が不定な場合はBasic認証)も有効な手段となりますので、設定しておくことを強く推奨します。 | |
| wp004 | info | WordPress情報保護の改善 | WordPessの設定ファイル(wp-config.php)がドキュメントルート内にあります。非公開領域に移動することを推奨します。 | データベースへの接続情報や暗号化に用いる文字列など、WordPressに関する設定情報はwp-config.phpに記述されています。wp-config.phpは、インストールするフォルダの1階層上に配置することができ、インストールするフォルダがドキュメントルートである場合においては、wp-config.phpを公開領域外に配置することが可能です。 WordPressにとって重要な設定ファイルを公開領域外に配置することで、より情報漏洩の可能性を低減できるようになります。 |
| wp005 | info | WordPress改ざん可能性の低減(wp-config.phpパーミッション1) | サブディレクトリにインストールされたWordPessの設定ファイル(wp-config.php)の権限が正しく設定されていません。WordPessの設定ファイルの権限を440に設定することを推奨します。 | データベースへの接続情報や暗号化に用いる文字列など、WordPressに関する設定情報はwp-config.phpに記述されています。このwp-config.phpの権限(パーミッション)にPHPからの書き込み権限がある場合、不正に設定の変更が加えられ、情報の漏洩やサイトの改ざんを招く可能性が高まります。 |
| wp006 | info | WordPress安全性の向上(wp-config.phpパーミッション2) | データベースへの接続情報や暗号化に用いる文字列など、WordPressに関する設定情報はwp-config.phpに記述されています。このwp-config.phpの権限(パーミッション)にPHPからの書き込み権限がある場合、不正に設定の変更が加えられ、情報の漏洩やサイトの改ざんを招く可能性が高まります。 | |
| wp007 | info | WordPress安全性の向上(wp-config.phpパーミッション3) | WordPessの設定ファイル(wp-config.php)のオーナーが正しく設定されていません。WordPessの設定ファイルのオーナーをkusanagi.wwwに設定することを推奨します。 | データベースへの接続情報や暗号化に用いる文字列など、WordPressに関する設定情報はwp-config.phpに記述されています。このwp-config.phpの所有者(ファイルオーナー)は、インストール直後はPHPの実行ユーザーとなり、PHPからの書き込みが可能な状況となります。このデフォルトの状態では、不正に設定の変更が加えられ、情報の漏洩やサイトの改ざんを招く可能性が高まります。 |
| wp008 | info | WordPress運用性の向上(wp-contentディレクトリパーミッション1) | WordPessのwp-contentフォルダの権限が望ましい設定となっていません。wp-contentフォルダの権限を775に設定することを推奨します。 | wp-contentフォルダは、WordPressやプラグインにより独自のフォルダが作成される場合があります。PHPの実行ユーザーによるwp-contentフォルダへの書き込み権限がない場合、WordPressやプラグインが正常に動作しなくなる可能性があるため、wp-contentフォルダの権限にはPHPによる書き込みが可能な設定にしてください。 |
| wp009 | info | WordPress運用性の向上(wp-contentディレクトリパーミッション2) | WordPessのwp-contentフォルダのオーナーが望ましい設定となっていません。wp-contentフォルダのオーナーをkusanagi.wwwに設定することを推奨します。 | wp-contentフォルダは、WordPressやプラグインにより独自のフォルダが作成される場合があります。PHPの実行ユーザーによるwp-contentフォルダへの書き込み権限がない場合、WordPressやプラグインが正常に動作しなくなる可能性があるため、wp-contentフォルダの権限にはPHPによる書き込みが可能な設定にしてください。 |
| wp010 | info | WordPress運用性の向上(upgrade-temp-backupディレクトリパーミッション) | WordPessのプラグインとテーマの更新に使用される一時フォルダ(wp-content/upgrade-temp-backup)に書き込み権限がありません。オーナーをkusanagi.wwwに設定し、一時フォルダの権限を775に設定してください。 | upgrade-temp-backupフォルダは、WordPress、テーマ、プラグインのアップデート時に不具合が発生した場合、自動で元のバージョンに戻せるようにするため、元のバージョンのファイルを一時的に退避させておくためのフォルダです。このフォルダにPHPによる書き込み権限がない場合、自動アップデート失敗時の復旧が行われず、障害が長期化することになるため、権限を推奨値に設定しておく必要があります。 |
| wp011 | info | WordPress安全性の向上(不使用のプラグインのインストール) | 停止中のWordPressプラグインがあります。未使用のプラグインは削除することを推奨します。 | Webサイトを安全に運用するためには、侵入口を極力減らすため、公開領域には運用に必要なもののみにしておくことが望ましい状況です。停止中のプラグインは、運用には必要でないものであり、公開領域から削除しておくことを推奨します。 |
| wp012 | info | WordPress安全性の向上(不使用のテーマのインストール) | 停止中のWordPressテーマがあります。未使用のテーマは削除しておくことを推奨します。WordPress のデフォルトテーマ、現在有効なテーマとその親テーマは削除しないよう気をつけてください。 | Webサイトを安全に運用するためには、侵入口を極力減らすため、公開領域には運用に必要なもののみにしておくことが望ましい状況です。停止中のテーマは、運用には必要でないものであり、公開領域から削除しておくことを推奨します。 |
| wp013 | notice | WordPress安全性の向上(WordPress自動アップデート無効) | WordPressの脆弱性への対応は最新バージョンだけでなく、影響を受けるWordPress3.7以降の全てのバージョンでマイナーアップデートとしてリリースされています。 WordPressを安全に運用するためには、確認された脆弱性に対するセキュリティパッチを迅速に適用することが大切ですので、自動更新は有効化しておくことを推奨します。 | |
| wp014 | info | WordPress安全性の向上(テーマ自動アップデート無効) | プラグイン、テーマのアップデートには、脆弱性に対する修正が含まれる可能性があります。WordPress6.6以降では、プラグイン、テーマの自動更新によってがエラーが発生した場合、自動的に前のバージョンに戻すロールバックする機能も搭載されています。WordPressを安全に運用するためにも、脆弱性に対するセキュリティパッチを迅速に適用することは大切ですので、自動更新は有効化しておくことを推奨します。 | |
| wp015 | info | WordPress安全性の向上(プラグイン自動アップデート無効) | プラグイン、テーマのアップデートには、脆弱性に対する修正が含まれる可能性があります。WordPress6.6以降では、プラグイン、テーマの自動更新によってがエラーが発生した場合、自動的に前のバージョンに戻すロールバックする機能も搭載されています。WordPressを安全に運用するためにも、脆弱性に対するセキュリティパッチを迅速に適用することは大切ですので、自動更新は有効化しておくことを推奨します。 | |
| wp016 | notice | WordPress安全性の向上(自動アップデートに必要な情報の定義不足) | WordPressの自動更新が正しく設定されていません。WordPressの設定ファイル(wp-config.php)のFS_METHOD, FTP_HOST, FTP_USER, FTP_PASSを正しく設定してください。 | FS_METHOD, FTP_HOST, FTP_USER, FTP_PASSは、WordPressの自動アップデートが動作するために必要な接続情報です。自動アップデートが動作できない場合、脆弱性に対する対応が遅れ、サイトの改ざんを招く可能性が高まることになるため、下記のように設定しておくことを推奨します。 define(‘FS_METHOD’, ‘ftpext’); define(‘FTP_HOST’, ‘localhost’); define(‘FTP_USER’, ‘kusanagi’); define(‘FTP_PASS’, ‘{kusanagi init実行時のkusanagiパスワード}’); |
| wp017 | notice | WordPress安全性の向上(自動アップデートに必要な情報の不足) | WordPressの自動更新が正しく設定されていません。WordPressの設定ファイル(wp-config.php)のFS_METHOD, FTP_HOST, FTP_USER, FTP_PASSのいずれかがみつかりませんでした。必要な接続設定を行ってください。 | FS_METHOD, FTP_HOST, FTP_USER, FTP_PASSは、WordPressの自動アップデートが動作するために必要な接続情報です。自動アップデートが動作できない場合、脆弱性に対する対応が遅れ、サイトの改ざんを招く可能性が高まることになるため、下記のように設定しておくことを推奨します。 define(‘FS_METHOD’, ‘ftpext’); define(‘FTP_HOST’, ‘localhost’); define(‘FTP_USER’, ‘kusanagi’); define(‘FTP_PASS’, ‘{kusanagi init実行時のkusanagiパスワード}’); |