フォーラムタグ: バージョン隠し

フォーラムタグ: バージョン隠し http://ja.forums.wordpress.org/ フォーラムタグ: バージョン隠し en Wed, 25 Nov 2009 17:57:20 +0000 lilyfan : "<?php wp_head(); ?>について" http://ja.forums.wordpress.org/topic/562#post-2556 Fri, 08 Aug 2008 18:56:39 +0000 lilyfan 2556@http://ja.forums.wordpress.org/ WordPress 2.5 以降は、meta name="generator" の表示を以下のアクションで行なっています (wp-includes/default-filters.php)。 <code>add_action('wp_head', 'wp_generator');</code> なので、このアクションを取り除けば OK です。もちろん、general-template.php にある <code>wp_generator()</code> 関数の中身をいじってしまってもいいですが。 <code>remove_action('wp_head', 'wp_generator');</code> なお、wp_head() を取ってしまうと、多くのプラグインが正常動作しません ( JavaScript を使うものはほぼ全滅)。 しかし、taikiken さんもおっしゃる通り、WordPress のバージョン表記を取ってもセキュリティー向上には繋がるかは疑問があります。 クラッカーが攻撃サイトを手作業で探していた昔であれば、バージョン番号を隠すことに少しは意義がありましたが、今や攻撃ツールを自動運転して多数のサイトを無差別に対象とするようになっています。そのため、いちいち XHTML の head に書かれた WordPress バージョンなんて確認しません。特に、WordPress のセキュリティーホールは XML-RPC 関連に集中しているため、通常のウェブページなんて見ずに、いきなり xmlrpc.php に攻撃ツールがアクセスを加えてきます。したがって、バージョン表示を隠してもセキュリティー向上にはならないと考えられます。 ちなみに、Apache や PHP のバージョンにおいて、隠すことの意義は以前から議論され続けていますが、どちらが優勢ともつけがたい現状です。興味があれば調べてみてください。 taikiken : "<?php wp_head(); ?>について" http://ja.forums.wordpress.org/topic/562#post-2553 Fri, 08 Aug 2008 16:52:43 +0000 taikiken 2553@http://ja.forums.wordpress.org/ <blockquote><?php wp_head(); ?></blockquote> そのものをテンプレートからとってしまうと 検索エンジンについては分かりませんがプラグインなどを使用した時に正常に動作しないことも考えられます。 わざわざバージョン情報をとる理由が分かりませんが、wp-include/geral-template.phpに記述されています。 最新のバージョンにアップデートをするようメンテナンスに気を配ることの方が重要だと思います。 hi-Roki : "<?php wp_head(); ?>について" http://ja.forums.wordpress.org/topic/562#post-2550 Fri, 08 Aug 2008 15:40:42 +0000 hi-Roki 2550@http://ja.forums.wordpress.org/ ヘッダーテンプレートに以下の記述があります。 <blockquote><?php wp_head(); ?></blockquote> この記述によってでWordPressのバージョンがソース表示時に表示されますが、 どうしてもWordPressバージョンの表示したくない際に、削除しようかと考えております。 削除すると以下のソースも同時に消されます。 <blockquote> <link rel="EditURI" type="application/rsd+xml" title="RSD" href="http://●●●.com/xmlrpc.php?rsd" /> <link rel="wlwmanifest" type="application/wlwmanifest+xml" href="http://●●●.com/wp-includes/wlwmanifest.xml" /> <meta name="generator" content="WordPress 2.5.1" /> <link rel="alternate" media="handheld" type="text/html" href="http://●●●.com/" /></blockquote> ↑↑↑↑↑ ①これらの表記がヘッダー表示されなくなる上で、検索サーチ上の影響などありますでしょうか？ ②以下の表記だけを表示しない方法はありますでしょうか？ <blockquote><meta name="generator" content="WordPress 2.5.1" /></blockquote> ご教授いただけましたら幸いです。 宜しくお願いいたします。 lilyfan : "インストール後　安全のために必要なこと" http://ja.forums.wordpress.org/topic/408#post-1874 Sun, 29 Jun 2008 16:19:15 +0000 lilyfan 1874@http://ja.forums.wordpress.org/ <blockquote>AddHandler cgi-script htaccess こういう設定は、不要で・ダサイ　ということは分かりませんでした。 </blockquote> 自分で Apache の管理や設定を行なったことがあるなら、すぐにそう分かるのですが、ユーザーレベルで .htaccess をいじった程度だと、なかなか分からないと思います。それでも、Apache のマニュアルを見れば「なんか不可思議な設定だな」と思えるでしょう。 この設定は、「htaccess という拡張子を持つファイルは CGI として実行属性を与える」というものです。.htaccess ファイルは CGI ではないため、不自然な設定なのです。 この方法はいつ誰が提案したのかは不明ですが、「<a href="http://mikeneko.creator.club.ne.jp/~lab/web/htaccess/usage.html">ミケネコの htaccess リファレンス</a>」は Last Modified が 2004年11月27日になっており、これより以前から存在する手法だと言えそうです。で、この文書では「あなたがサーバ管理に長けている方なら、なぜこのような邪道とも言える方法を採るのか不思議に思うかもしれません」と書かれていて、提案者自身が「ダサい設定方法である」ことを承知しています。しかし、他の人の説明では、この「言い訳」が抜けてしまっているんですよね……。 <blockquote>ネットで検索　→　それが答えだと思ってしまう。　 危険ではないかと思う今日この頃です。　が、 真偽のほどを確かめるすべもない・・　それをまた　→　検索・・・ </blockquote> 基本は、「正式なマニュアル・規約や規格に当たる」ことです。今回の場合、.htaccess は Apache の設定ファイルですから、Apache のマニュアルを見ればよいわけです。WordPress 関連の場合は、WordPress のドキュメントを見ればいいのですが、残念ながら<a href="http://wpdocs.sourceforge.jp/">日本語 Codex</a> はまだ整備中です。そういう場合は、英語版 Codex を見るか、ソースコードを見て実装を確認することになります。 <blockquote>lilyfan さんのブログ拝見させていただきました！ びっくりしました。 Ktai Style を作られた方だったのですねー！！ </blockquote> アカウント名がややこしくてすいません。日本語フォーラムが始まるずっと前に wordpress.org のアカウントを取得していて、都合上「lilyfan」というアカウント名にしました (「yuriko」は空いていた気もしますが、あえて取りませんでした)。 Ktai Style は機能がどんどん追加されていって、いつのまにか「最強の携帯対応ツール」になってしまいました ;-) 今後もボチボチ開発しますので、よろしくお願いします。 word2000 : "インストール後　安全のために必要なこと" http://ja.forums.wordpress.org/topic/408#post-1870 Sun, 29 Jun 2008 06:24:02 +0000 word2000 1870@http://ja.forums.wordpress.org/ lilyfan さん　 いつも丁寧にお答えいただきありがとうございます。 教えていただいた通り、ダブルクォートで囲む必要と Apache のバージョン上　File だけでよいことが分かりました。 ありがとうございました。 AddHandler cgi-script htaccess こういう設定は、不要で・ダサイ　ということは分かりませんでした。 全くの初心者なので、ちんぷんかんぷん　というのが正直なところです。 あるのですね・・・ 　必要のある・なし 　ダサイ表現 　それを承知で使うか否か うーむ・・　勉強になりました。 ネットで検索　→　それが答えだと思ってしまう。　 危険ではないかと思う今日この頃です。　が、 真偽のほどを確かめるすべもない・・　それをまた　→　検索・・・ lilyfan さんのブログ拝見させていただきました！ びっくりしました。 Ktai Style を作られた方だったのですねー！！ 私が、wordpress にチャレンジしてみようと思ったのは、 wordpress には Ktai Style というプラグインがある・・ というのが、大きな決め手でした。 なんということでしょう！ やっぱり、wordpress にして良かったと思います。 まだ、初心者ですが これからも、よろしくお願いいたします。 お忙しいところありがとうございました。 lilyfan : "インストール後　安全のために必要なこと" http://ja.forums.wordpress.org/topic/408#post-1864 Sat, 28 Jun 2008 16:32:28 +0000 lilyfan 1864@http://ja.forums.wordpress.org/ <pre><code><FilesMatch　^wp-config.php$> deny from all </FilesMatch></code></pre> 正規表現の場合はダブルクォートで囲まないといけないのではないでしょうか。 もしくは、サーバーの設定で htaccess による order 設定が許可されていないか、FilesMatch ディレクティブが許可されていない可能性もあります。その場合はあきらめてください。 <code>AddHandler cgi-script htaccess</code> 今どきはサーバーの設定で .htaccess を読みないようにしているはずなので、こういう設定は不要です。正直、この設定方法はダサいですよね。いまいちな表現であることを承知の上で使うならいいんですが、それが分かってないなら、やめた方がいいです ;-) word2000 : "インストール後　安全のために必要なこと" http://ja.forums.wordpress.org/topic/408#post-1863 Sat, 28 Jun 2008 14:46:51 +0000 word2000 1863@http://ja.forums.wordpress.org/ 聡明な回答を丁寧にしていただきありがとうございました。 wordpress　に対する不安が一気に払拭されました。 的確な回答に感謝いたします。 　　・最新のＷＰ 　　・強力なパスワード 　　・ディレクトリファイルの一覧　 　　・同梱のテンプレート 　　・プラグインは少なく　 をさっそく、導入させていただきます。 　　・　config.php を守る 　　・　.htaccess　を見えないようにする 　　・　インデックスの一覧　を守る ということを考えて　以下のような.htaccess を 考えたのですが、設置するとエラーが出てしまいました。 　　　<FilesMatch　^wp-config.php$> 　　　deny from all 　　　</FilesMatch> 　　　AddHandler cgi-script htaccess 　　　Options -Indexes 現在　 　　　AddHandler cgi-script htaccess 　　　Options -Indexes にしました。 自己解決できませんでした。 また、お時間がありましたら、アドバイスいただければ幸いです。 よろしくお願いいたします。 　　 lilyfan : "インストール後　安全のために必要なこと" http://ja.forums.wordpress.org/topic/408#post-1862 Sat, 28 Jun 2008 09:32:26 +0000 lilyfan 1862@http://ja.forums.wordpress.org/ <blockquote>本当に必要なものを　初心者向けに　詳しく教えていただけないでしょうか？ </blockquote> 初心者であれば、「常に WordPress のバージョンを最新に保つ」だけで十分です。本当に必要なセキュリティー対策であれば WordPress 本体に取り込まれているはずで、そうでないということは、WordPress 開発者が「不要な対策だ」と考えているわけです。巷にあふれている対策は、作業コストに対する効果が不明なものが多く、意味がない場合も多いです。 また、いい加減な技術文書も出回っているようです (<a href="http://ja.forums.wordpress.org/topic/354?replies=15#post-1707">blogsecurity.net : WordPress Security Whitepaper はでたらめ</a>)。 # とはいえ、WordPress 開発者はセキュリティーに無頓着な面があるのは否めませんが。 ●ログイン画面を見せないようにする →ユーザーパスワードが十分に強ければ、ログイン画面がオープンでも問題ありません。 ●admin を変更する →これは「admin」というユーザー名を変更すべき、という意味でしょう。admin のパスワードが十分に強ければ問題ありません。とはいえ、ID=1 のユーザー名が admin 決め打ち、というのはあまりセキュアでないのは事実です。 ●管理用のファイル・ページを検索エンジンにキャッシュさせない。 →ほとんど意味のない対策です。wp-admin 配下はログインしないとアクセスできませんし、wp-content 配下は誰からもアクセスできることが前提の場所です。wp-includes 配下は WordPress コアコードですが、直接アクセスしても何も画面表示されないよう対策されています。 ●「search.php」で下記の検索コードは使用しない。<code><?php echo $_SERVER ['PHP_SELF']; ?></code> →テーマに存在する search.php のことですね。これは珍しく意味のある対策です。WordPress 同梱のテーマは改善されていますが、巷に配られているテーマは直ってないものがあります。しかし、対策が間違っています。<code><?php bloginfo ('home'); ?></code> ではなく <code><?php bloginfo ('url'); ?></code> が正しいです (いちおう home でも動くようになっていますが)。 ●「wp-」がついているフォルダをサーチエンジンなどに登録されないように、「robots.txt」に下記を記述する。 →前述の通り無意味です。 ●ディレクトリのファイル一覧を表示させない。ダミーの「index.html」を設置したり、.htaccessに下記を記述する。 →これは、できれば行なった方がよい対策ですが、ディレクトリーの中に変なファイルがなければ実施しなくてもあまり問題ではありません。.htaccess はトップディレクトリーでよいです。 ●metaにあるWordPressのバージョンは隠す。 →これは意見が分かれる対策です。わたしは無意味だという考えです。どうせクラッカーは、バージョンを見ずに攻撃してくるので、バージョン番号を隠してもセキュアにならないと思います。むしろ「WordPress のバージョンを最新に保つ」ことが優先です。 →この手法を「セキュリティー向上対策」として書いてある場合、その文書は「いい加減なものである」と決め付けて問題ありません ;-) 「Apache バージョンを隠す」で検索してみると、バージョンを隠すことが無意味なことを指摘する文書が多数出てきますよ。 ●管理画面への不正アクセスを防御する。管理画面へアクセス可能なIPアドレスを設定する。 →ユーザーのパスワードが十分強ければ問題ありません。固定 IP じゃなくても、ADSL/光環境でも、あまり IP アドレスは変動しませんが、やっぱり不便になると思います。 ●パスワードを暗号化して守るプラグイン。htaccess password protection → WordPress 2.5 で、パスワードの保護が強固になったので不要です。プラグインのコードがあやしげなことも多く、動作が理解できないプラグインを入れるのは危険です。 ●ログインに失敗したIPアドレスを記録し、アクセス不能にするプラグイン。Login LockDown →自身が必要性を感じないならば入れなくていいです。必要性を理解できる人しか意味がないものです。上記の通り、プラグインのコード自体があやしいこともあります ;-) ●「wp-config.php」ファイルにデータベースのユーザー名やパスワードが記述してあるので、下記を「.htaccess」に記述するなどして守る。 →これも微妙な対策です。確かに、ウェブでアクセスできる場所に wp-config.php があるのは、セキュリティー的にいまいちなのですが、PHP のコードなので常に実行されてしまい、パスワードが表示されるわけではありません。記述内容をそのまま取り出すためには、Apache や PHP のセキュリティーホールと組み合わせない限り無理でしょう。 →とはいえ、WordPress 2.6 では、wp-config.php の置き場所を上位ディレクトリーに変更できるようになります。 word2000 : "インストール後　安全のために必要なこと" http://ja.forums.wordpress.org/topic/408#post-1859 Sat, 28 Jun 2008 07:57:50 +0000 word2000 1859@http://ja.forums.wordpress.org/ 2.5.1　ja　を　インストールしました。 安全に使うために　必要な設定　がネット上にいろいろ書かれていますが 本当に必要なものを　初心者向けに　詳しく教えていただけないでしょうか？ 自分なりに調べたものを書かせていただきましたので、 教えていただければ幸いです。 必要のないもの　これ以外に必要なものがありましたら、是非　教えて下さい。 ● ログイン画面を見せないようにする 　　　×　これは、どうすれば良いのか分かりませんでした。 ● 　admin　を変更する 　　　×　これも、どうすれば良いのか分かりませんでした。 ●　管理用のファイル・ページを検索エンジンにキャッシュさせない 　 wp-で始まるファイルはWordPress(ワードプレス)が動作用または 　管理者用のプログラムファイルです。 　そのため検索エンジンに記録されないように指定します。 　まずサイトのトップデレクトリーにrobots.txtというファイルを作成します。 　このrobots.txtの中に 　 User-agent: * 　 Disallow: /wp-*　　　　と表記します。 　この設定によって、検索エンジンはwp-で始まるファイルをキャッシュしないようになります。 　　　▲　これは、このまま、robots.txt をトップデレクトリに置くだけで良いのでしょうか？ ● 　全てのユーザーにサーバー全部の検索を許可しない。 　　・「search.php」で下記の検索コードは使用しない。 　 <?php echo $_SERVER ['PHP_SELF']; ?> 　 　代わりに下記のコードを使用する。 　 <?php bloginfo ('home'); ?> 　　　▲　これは、serch.php　の場所が分かりませんでした。 　　・「wp-」がついているフォルダをサーチエンジンなどに登録されないように、 　　　「robots.txt」に下記を記述する。 　 　 Disallow: /wp-* Disallow: /wp-* 　　　▲　これは、上記の robots.txt に追加で表記してトップデレクトリに置けば 　　　　　すれば良いのでしょうか？ ● 　ディレクトリのファイル一覧を表示させない。 　　　　ダミーの「index.html」を設置したり、.htaccessに下記を記述する。 　　 Options -Indexes Options -Indexes 　　　▲　これは、.htaccess をトップデレクトリに置けば良いのでしょうか？ ● 　metaにあるWordPressのバージョンは隠す。 　　　　metaにWordPressのバージョンは、「header.php」にある下記によって表示されます。 　　　　<meta content="WordPress <?php bloginfo(’version’); ? />" name="generator" /> 　　　 　　　▲　これは、<?php bloginfo(’version’); ? />　を削除すれば良いのでしょうか？ ● 管理画面への不正アクセスを防御する。 管理画面へアクセス可能なIPアドレスを設定する。 「.htaccess」への記述例 AuthUserFile /dev/null AuthGroupFile /dev/null AuthName “Example Access Control” AuthType Basic <limit GET> order deny,allow deny from all allow from xx.xx.xx.xx(IPアドレス) allow from xx.xx.xxx.xx(IPアドレス) </limit> 　　　▲　これは、固定ＩＰを使っている環境のみだと思うのですが　どうでしょう？ ● パスワードを暗号化して守るプラグイン。 htaccess password protection 　　　▲　これは、必要でしょうか？ ● ログインに失敗したIPアドレスを記録し、アクセス不能にするプラグイン。 Login LockDown 　　　 　　　▲　これは、必要でしょうか？ ● 「wp-config.php」ファイルにデータベースのユーザー名や パスワードが記述してあるので、下記を「.htaccess」に記述するなどして守る。 </FilesMatch> <FilesMatch　^wp-config.php$> deny from all </FilesMatch> 　　　▲　これは、上記の .htaccess の中に　追加して記述し　トップデレクトリに 　　　　　置けばよいのでしょうか？ 　よろしくお願いいたします。