【WordPress】【セキュリティ対策】バージョン情報は非表示にしよう

こんにちは、webエンジニアのゾノ( @ozonosho )です。

前回の記事に続いて、今回もWordPressデフォルト設定のままだとセキュリティ上宜しくないポイントについて書きます。

今回はバージョン情報の非表示設定についてです。

ブラウザの検証ツール等を利用してWordPressサイトのHTMLコードを見ると、head内などにWordPressのバージョン情報が表示されているのを確認できます。

HTMLコードは誰でも見ることができるため、

WordPressを利用していることが第三者に特定されてしまう
こまめにバージョンアップしていない場合、既知の不具合があるバージョンを利用していることが特定されてしまう

といったリスクがあります。

WordPressを利用していることが特定されるだけでも、ログイン画面URLや著者アーカイブページURLを特定されやすくなり、セキュリティリスクが高まります。

そのためバージョン情報は非表示にしておいたほうが安全です。

具体的には、下記のコードをfunctions.phpに記述することでバージョン情報を非表示にすることができます。

foreach ( array( 'rss2_head', 'commentsrss2_head','rss_head', 'rdf_header', 'atom_head','comments_atom_head', 'opml_head', 'app_head' ) as $action ) {
    remove_action( $action, 'the_generator' );
}
foreach (array('wp_generator', 'wlwmanifest_link','rsd_link') as $function) {
    remove_action('wp_head', $function);
}

また、WordPressの利用するJSやCSSのパラメータにWordPressのバージョン情報が付与されるため、下記のコードを加えてパラメータ情報を消去しておくと万全です。

function remove_cssjs_ver( $src ) {
    if ( strpos( $src, 'ver=' ) )
        $src = remove_query_arg( 'ver', $src );
    return $src;
}
add_filter( 'style_loader_src', 'remove_cssjs_ver', 9999 );
add_filter( 'script_loader_src', 'remove_cssjs_ver', 9999 );

コピペで済むので、是非このひと手間を加えていただくことをおすすめします。