• 赤色のリンクは、まだ日本語Codexに存在しないページ・画像です。英語版と併せてご覧ください。(詳細

このWikiはいつでも誰でも編集できます

FAQ/セキュリティ

提供: WordPress Codex 日本語版
< FAQ
移動先: 案内検索

「セキュリティ」問題とは?

セキュリティ問題 (またはセキュリティの脆弱性) とは、WordPress インストールのセキュリティに影響する種類のバグのことです。

WordPress サイトにおいて、WordPress コアのコードに含まれたバグにより、ユーザーが保持しないレベルのアクセス権を意図的に獲得できる場合、これはセキュリティ問題です。

セキュリティ問題を報告する前に、次の点に注意してください。

  1. あなたのサイトがハッキング(クラッキング)されたとしても、ここでいうセキュリティ問題ではありません。一方、攻撃者がサイトをハッキングした際にどのような侵入経路を使用したかはセキュリティ問題です。攻撃方法の詳細が分かる場合は security [at] wordpress.org へメールを送るか、Support Forums へ報告するか(英語)、日本語ローカルサイトのお問い合わせフォームから連絡してください。
  2. パスワードを忘れたり、サイトにアクセスできない場合もセキュリティ問題ではありません。ログインパスワードを変更・再発行する を試すか、サイト管理者やホストに連絡してください。
  3. 一般にセキュリティ問題は複雑な問題です。セキュリティ問題を報告すること自体は素晴らしいことです。まったく正しいことです。が、報告する内容が 本当に セキュリティ問題なのかもう一度確認してください。そうでない場合はあなたと、そして報告先の専門家の時間を無駄にします。
  4. セキュリティのメールアドレスはサポートではありません。一般の問題を送らないでください。メールに返信はありません。代わりにSupport Forums (英語)、日本語ローカルサイトのお問い合わせフォームを使用してください。

セキュリティ関連の問題を報告するには?

セキュリティ問題を報告する前にもう一度上のセクションを読み、本当にセキュリティ問題かどうかを確認してください。

どの場合も詳細なセキュリティの脆弱性を公開しないでください。それは無責任、かつ、素人のやり方です。

著作権違反、名誉毀損、その他の法的問題を報告するには?

WordPress.org/ja.WordPress.org ではサイトのホスティングは行っていません。WordPress.org は誰でもダウンロードして利用できるパブリッシングソフトウェアを配布しているだけで、誰がどのようにこのソフトウェアを使うかをコントロールすることはできません。言い換えると、WordPress.org にはコメント、投稿、サイトなどを取り下げる力はありません

WordPress に連絡する代わりに、whois 検索をして、サイトの運営者やホスティングサービスを発見し、それらの組織に違反を報告してください。

組織がわからない場合は Plagiarism Today の次の記事が役立つかもしれません。

サイトがハックされてしまいました。どうすればよいですか?

サイトがハックされた場合、FAQ: サイトがハッキングされた場合/en にアクセスし、詳細な手順に従ってください。

被害の手動検出を支援する 2 つのプラグインを紹介します。

完全な解決策ではありませんが、正しい方向に導くでしょう。また以下に実行すべき物事やアクションの簡潔なリストを示します。

  • すべてのユーザーのパスワードを変更します。特に管理者と編集者のパスワードは重要です (Sucuri プラグイン はハックされた後のアクションを支援します)。
  • ファイルを FTP 経由でアップロードしている場合は FTP パスワードを変更します。
  • ローカルマシンの FTP ログをクリアします。特に Windows 上で FileZilla を使用している場合
  • 最新版の WordPress を再インストールします。ただし既存インストールに対して上書きインストールせず、一度削除し、新規にインストールしてください。
  • すべてのプラグインとテーマが最新版であることを確認します。
  • インストールのファイル、フォルダーのパーミッションを確認します。
  • Apache の .htaccess ファイルを参照し、ルールが追加されていないことを確認します。
  • Filezilla でbackdoors を検索します。
  • security keys を更新します (Sucuri プラグイン はハックされた後のアクションを支援します)。

一部のユーザーがフィルターされていない HTMLを投稿できるのはなぜですか?

管理者または編集者 roles のあるユーザーは、フィルターされていない HTML を記事タイトル、記事コンテンツ、コメントに書きこむことができます。WordPress は結局のところパブリッシングのためのツールであり、ユーザーはコミュニケーションに必要なマークアップを含められる必要があります。権限レベルの低いユーザーについては、フィルターされていないコンテンツを投稿することはできません。

WordPerss に対してセキュリティテストを行う場合は、権限レベルの低いユーザーを使ってください。管理者が XSS をコンテンツに含めたり、Cookie を盗んだりする心配については、すべての Cookie は HTTP 配信のみに向けてマークされており、管理画面に使われる権限別 Cookie と、公開ページ用の権限に紐付けられていない Cookie に分けられています。管理画面ではフィルターのない状態でコンテンツが表示されることはありません。いずれにせよ、管理者はさまざまな上位権限を持っており、フィルターされていない HTML の投稿はそのひとつです。

WordPress マルチサイトでは、特権管理者のみがフィルターされていないコンテンツを投稿できます。それ以外のユーザーは信頼できない場合があるからです。

管理者も含めすべてのユーザーがフィルターされていない HTML を投稿できなくするには、wp-config.php に define( 'DISALLOW_UNFILTERED_HTML', true ); と記入してください。

一部のファイルを読み込んだ際、パスが公開されるのはなぜですか?

これはサーバー設定に関する問題だと思われます。公開サイトでは display_errors を決して有効化しないでください。

「パスワード再設定」メールを受信しました。なぜですか?

誰かがサイトのパスワード再設定のページにアクセスすると、メール「Someone has asked to reset the password for the following site and username (次のサイトおよびユーザー名のパスワードのリセットが要求されました)」が送信されます。このページはパスワードを忘れたユーザーに対して公開されているため、任意のユーザーがアクセスできますが、メールを受け取ったユーザーだけが自身のパスワードを変更できます。メールアカウントがハックされていない限り、このメールは無視できます。

FAQ へ戻る

最新英語版: WordPress Codex » FAQ Security最新版との差分