• 赤色のリンクは、まだ日本語Codexに存在しないページ・画像です。英語版と併せてご覧ください。(詳細

このWikiはいつでも誰でも編集できます

「FAQ/セキュリティ」の版間の差分

提供: WordPress Codex 日本語版
< FAQ
移動先: 案内検索
(en:FAQ Security 16:53, 23 January 2010 MichaelH 版を翻訳用にコピー)
 
(翻訳完了 en:FAQ_Security 04:22, 10 May 2015‎ RDall 版)
 
(3人の利用者による、間の4版が非表示)
1行目: 1行目:
[[FAQ|Back to FAQ]]
 
 
__TOC__
 
__TOC__
 
<div style="clear:both">
 
<div style="clear:both">
 
</div>
 
</div>
  
=== Where do I report security issues? ===
+
=== 「セキュリティ」問題とは?<span id="#What_is_a_.22security.22_issue.3F"></span> ===
Send an email with the details to security@wordpress.org.
+
  
 +
セキュリティ問題 (またはセキュリティの脆弱性) とは、WordPress インストールのセキュリティに影響する種類のバグのことです。
  
=== Where do I report copyright infringements, libel, and other legal issues? ===
+
WordPress サイトにおいて、WordPress コアのコードに含まれたバグにより、ユーザーが保持しないレベルのアクセス権を意図的に獲得できる場合、これはセキュリティ問題です。
You don't!  [http://wordpress.org/ WordPress.org] does not host sites. [http://wordpress.org/ WordPress.org] provides publishing software that anyone can download and use.  The organization, [http://wordpress.org/ WordPress.org], has no control over who uses the software or how they use it.  In other words, [http://wordpress.org/ WordPress.org] does NOT have the power to take down comments, posts, sites, or anything else. Perform a [http://whois.domaintools.com/ whois] lookup to track down the operator or host of a particular site, then report the infringement to those organizations.
+
  
 +
セキュリティ問題を報告する前に、次の点に注意してください。
  
=== I've been hacked. What do I do now? ===
+
# あなたのサイトがハッキング(クラッキング)されたとしても、ここでいうセキュリティ問題では''ありません''。一方、攻撃者がサイトをハッキングした際にどのような侵入経路を使用したかはセキュリティ問題です。攻撃方法の詳細が分かる場合は security [at] wordpress.org へメールを送るか、[http://wordpress.org/support/ Support Forums] へ報告するか(英語)、[http://ja.wordpress.org/contact/ 日本語ローカルサイトのお問い合わせフォーム]から連絡してください。
The [http://wordpress.org/extend/plugins/exploit-scanner/ Exploit Scanner] plugin can help detect damage so that it can be cleaned up. Other things you should do:
+
# パスワードを忘れたり、サイトにアクセスできない場合もセキュリティ問題ではありません。[[Resetting Your Password|ログインパスワードを変更・再発行する]] を試すか、サイト管理者やホストに連絡してください。
 +
# 一般にセキュリティ問題は複雑な問題です。セキュリティ問題を報告すること自体は素晴らしいことです。まったく正しいことです。が、報告する内容が ''本当に'' セキュリティ問題なのかもう一度確認してください。そうでない場合はあなたと、そして報告先の専門家の時間を無駄にします。
 +
# セキュリティのメールアドレスは''サポートではありません''。一般の問題を送らないでください。メールに返信はありません。代わりに[http://wordpress.org/support/ Support Forums] (英語)、[http://ja.wordpress.org/contact/ 日本語ローカルサイトのお問い合わせフォーム]を使用してください。
  
* Change passwords for all users, especially Administrators and Editors.
+
=== セキュリティ関連の問題を報告するには?<span id="Where_do_I_report_security_issues.3F"></span>===
* If you upload files to your site via FTP, change your FTP password.
+
* Re-install the latest version of WordPress.
+
* Make sure all of your plugins and themes are up-to-date.
+
* Update your [[Editing_wp-config.php#Security_Keys security keys]].
+
* See [[FAQ_My_site_was_hacked|FAQ My Sites Was Hacked]].
+
  
=== Why are some users allowed to post unfiltered HTML? ===
+
セキュリティ問題を報告する前にもう一度上のセクションを読み、本当にセキュリティ問題かどうかを確認してください。
Users with Administrator or Editor privileges are allowed to publish unfiltered HTML in post titles and content.  WordPress is, after all, a publishing tool, and people need to be able to include whatever markup they need to communicate.  Users with lesser privileges are not allowed to post unfiltered content.  If you are running security tests against WordPress, use a lesser privileged user so that all content is filtered.  If you are concerned about an Administrator putting XSS into content and stealing cookies, note that all cookies are marked for HTTP only delivery and are divided into privileged cookies used for admin pages and unprivileged cookies used for public facing pages.  Content is never displayed unfiltered in the admin.  Regardless, an Administrator has wide-ranging super powers among which unfiltered HTML is a lesser one.
+
  
 +
* '''[http://en.support.wordpress.com/com-vs-org/ WordPress.com] のセキュリティ問題''' については [http://automattic.com/security/ Automattic の セキュリティ] ページを参照してください。
 +
* プラグインのセキュリティ問題については、できるだけ詳しい内容と共に plugins [at] wordpress.org へメールを送るか(英語)、[http://ja.wordpress.org/contact/ 日本語ローカルサイトのお問い合わせフォーム]からご連絡ください。
 +
* インストール型 WordPress ソフトウェアのセキュリティ問題については、できるだけ詳しい内容とともに security [at] wordpress.org へメールを送るか(英語)、[http://ja.wordpress.org/contact/ 日本語ローカルサイトのお問い合わせフォーム]からご連絡ください。
  
=== Why are there path disclosures when directly loading certain files? ===
+
どの場合も'''詳細なセキュリティの脆弱性を公開しないでください'''。それは無責任、かつ、素人のやり方です。
This is considered a server configuration problem.  Never enable display_errors on a production site.
+
  
[[FAQ|Back to FAQ]]
+
=== 著作権違反、名誉毀損、その他の法的問題を報告するには?<span id="Where_do_I_report_copyright_infringements.2C_libel.2C_and_other_legal_issues.3F"></span>===
 +
[http://wordpress.org/ WordPress.org]/[http://ja.wordpress.org/ ja.WordPress.org] ではサイトのホスティングは行っていません。WordPress.org は誰でもダウンロードして利用できるパブリッシングソフトウェアを配布しているだけで、誰がどのようにこのソフトウェアを使うかをコントロールすることはできません。言い換えると、WordPress.org にはコメント、投稿、サイトなどを取り下げる力は'''ありません'''。
  
{{原文|FAQ Security|82357}}<!-- 16:53, 23 January 2010 MichaelH 版 -->
+
WordPress に連絡する代わりに、[http://whois.ansi.co.jp/ whois] 検索をして、サイトの運営者やホスティングサービスを発見し、それらの組織に違反を報告してください。
  
[[Category:Troubleshooting]]
+
組織がわからない場合は Plagiarism Today の次の記事が役立つかもしれません。
[[Category:WordPress Help]]
+
 
 +
* [http://www.plagiarismtoday.com/stopping-internet-plagiarism/3-finding-the-host/ Finding the Host]
 +
* [http://www.plagiarismtoday.com/2009/07/16/6-steps-to-find-a-hosts-dmca-contact/ 6 Steps to Find a Host’s DMCA Contact]
 +
 
 +
=== サイトがハックされてしまいました。どうすればよいですか?<span id="I.27ve_been_hacked._What_do_I_do_now.3F"></span>===
 +
 
 +
サイトがハックされた場合、[[FAQ My site was hacked|FAQ: サイトがハッキングされた場合]]/[[:en:FAQ My site was hacked|en]] にアクセスし、詳細な手順に従ってください。
 +
 
 +
被害の手動検出を支援する 2 つのプラグインを紹介します。
 +
 
 +
* [https://wordpress.org/plugins/gotmls/ Anti-Malware]
 +
* [http://wordpress.org/extend/plugins/exploit-scanner/ Exploit Scanner]
 +
 
 +
完全な解決策ではありませんが、正しい方向に導くでしょう。また以下に実行すべき物事やアクションの簡潔なリストを示します。
 +
 
 +
* すべてのユーザーのパスワードを変更します。特に管理者と編集者のパスワードは重要です ([https://wordpress.org/plugins/sucuri-scanner/ Sucuri プラグイン] はハックされた後のアクションを支援します)。
 +
* ファイルを FTP 経由でアップロードしている場合は FTP パスワードを変更します。
 +
* ローカルマシンの FTP ログをクリアします。特に Windows 上で FileZilla を使用している場合
 +
* 最新版の WordPress を再インストールします。ただし既存インストールに対して上書きインストールせず、一度削除し、新規にインストールしてください。
 +
* すべてのプラグインとテーマが最新版であることを確認します。
 +
* インストールのファイル、フォルダーのパーミッションを確認します。
 +
* Apache の .htaccess ファイルを参照し、ルールが追加されていないことを確認します。
 +
* [http://blog.sucuri.net/2012/07/website-malware-removal-wordpress-tips-tricks.html Filezilla でbackdoors] を検索します。
 +
* [[Editing_wp-config.php#Security_Keys|security keys]] を更新します ([https://wordpress.org/plugins/sucuri-scanner/ Sucuri プラグイン] はハックされた後のアクションを支援します)。
 +
 
 +
=== 一部のユーザーがフィルターされていない HTMLを投稿できるのはなぜですか?<span id="Why_are_some_users_allowed_to_post_unfiltered_HTML.3F"></span>===
 +
 
 +
管理者または編集者 [[Roles_and_Capabilities#Roles|roles]] のあるユーザーは、フィルターされていない HTML を記事タイトル、記事コンテンツ、コメントに書きこむことができます。WordPress は結局のところパブリッシングのためのツールであり、ユーザーはコミュニケーションに必要なマークアップを含められる必要があります。権限レベルの低いユーザーについては、フィルターされていないコンテンツを投稿することはできません。
 +
 
 +
WordPerss に対してセキュリティテストを行う場合は、権限レベルの低いユーザーを使ってください。管理者が XSS をコンテンツに含めたり、Cookie を盗んだりする心配については、すべての Cookie は HTTP 配信のみに向けてマークされており、管理画面に使われる権限別 Cookie と、公開ページ用の権限に紐付けられていない Cookie に分けられています。管理画面ではフィルターのない状態でコンテンツが表示されることはありません。いずれにせよ、管理者はさまざまな上位権限を持っており、フィルターされていない HTML の投稿はそのひとつです。
 +
 
 +
WordPress マルチサイトでは、特権管理者のみがフィルターされていないコンテンツを投稿できます。それ以外のユーザーは信頼できない場合があるからです。
 +
 
 +
管理者も含めすべてのユーザーがフィルターされていない HTML を投稿できなくするには、wp-config.php に <code>define( 'DISALLOW_UNFILTERED_HTML', true );</code> と記入してください。
 +
 
 +
=== 一部のファイルを読み込んだ際、パスが公開されるのはなぜですか? <span id="Why_are_there_path_disclosures_when_directly_loading_certain_files.3F"></span>===
 +
これはサーバー設定に関する問題だと思われます。公開サイトでは <code>display_errors</code> を決して有効化しないでください。
 +
 
 +
=== 「パスワード再設定」メールを受信しました。なぜですか? ===
 +
 
 +
誰かがサイトのパスワード再設定のページにアクセスすると、メール「Someone has asked to reset the password for the following site and username (次のサイトおよびユーザー名のパスワードのリセットが要求されました)」が送信されます。このページはパスワードを忘れたユーザーに対して公開されているため、任意のユーザーがアクセスできますが、メールを受け取ったユーザーだけが自身のパスワードを変更できます。メールアカウントがハックされていない限り、このメールは無視できます。
 +
 
 +
[[FAQ|FAQ へ戻る]]
 +
 
 +
{{原文|FAQ Security|151478}}<!--  04:22, 10 May 2015‎ RDall 版 -->
 +
 
 +
{{DEFAULTSORT:FAQせきゆりてい}}
 +
[[Category:トラブルシューティング]]
 +
[[Category:WordPress ヘルプ]]
 +
[[Category:セキュリティ]]<!-- 試験的な分野別カテゴリ -->
  
 
[[en:FAQ Security]]
 
[[en:FAQ Security]]
 +
[[ja:FAQ/セキュリティ]]
 +
[[pt-br:FAQ Segurança]]

2015年5月24日 (日) 03:23時点における最新版

「セキュリティ」問題とは?

セキュリティ問題 (またはセキュリティの脆弱性) とは、WordPress インストールのセキュリティに影響する種類のバグのことです。

WordPress サイトにおいて、WordPress コアのコードに含まれたバグにより、ユーザーが保持しないレベルのアクセス権を意図的に獲得できる場合、これはセキュリティ問題です。

セキュリティ問題を報告する前に、次の点に注意してください。

  1. あなたのサイトがハッキング(クラッキング)されたとしても、ここでいうセキュリティ問題ではありません。一方、攻撃者がサイトをハッキングした際にどのような侵入経路を使用したかはセキュリティ問題です。攻撃方法の詳細が分かる場合は security [at] wordpress.org へメールを送るか、Support Forums へ報告するか(英語)、日本語ローカルサイトのお問い合わせフォームから連絡してください。
  2. パスワードを忘れたり、サイトにアクセスできない場合もセキュリティ問題ではありません。ログインパスワードを変更・再発行する を試すか、サイト管理者やホストに連絡してください。
  3. 一般にセキュリティ問題は複雑な問題です。セキュリティ問題を報告すること自体は素晴らしいことです。まったく正しいことです。が、報告する内容が 本当に セキュリティ問題なのかもう一度確認してください。そうでない場合はあなたと、そして報告先の専門家の時間を無駄にします。
  4. セキュリティのメールアドレスはサポートではありません。一般の問題を送らないでください。メールに返信はありません。代わりにSupport Forums (英語)、日本語ローカルサイトのお問い合わせフォームを使用してください。

セキュリティ関連の問題を報告するには?

セキュリティ問題を報告する前にもう一度上のセクションを読み、本当にセキュリティ問題かどうかを確認してください。

どの場合も詳細なセキュリティの脆弱性を公開しないでください。それは無責任、かつ、素人のやり方です。

著作権違反、名誉毀損、その他の法的問題を報告するには?

WordPress.org/ja.WordPress.org ではサイトのホスティングは行っていません。WordPress.org は誰でもダウンロードして利用できるパブリッシングソフトウェアを配布しているだけで、誰がどのようにこのソフトウェアを使うかをコントロールすることはできません。言い換えると、WordPress.org にはコメント、投稿、サイトなどを取り下げる力はありません

WordPress に連絡する代わりに、whois 検索をして、サイトの運営者やホスティングサービスを発見し、それらの組織に違反を報告してください。

組織がわからない場合は Plagiarism Today の次の記事が役立つかもしれません。

サイトがハックされてしまいました。どうすればよいですか?

サイトがハックされた場合、FAQ: サイトがハッキングされた場合/en にアクセスし、詳細な手順に従ってください。

被害の手動検出を支援する 2 つのプラグインを紹介します。

完全な解決策ではありませんが、正しい方向に導くでしょう。また以下に実行すべき物事やアクションの簡潔なリストを示します。

  • すべてのユーザーのパスワードを変更します。特に管理者と編集者のパスワードは重要です (Sucuri プラグイン はハックされた後のアクションを支援します)。
  • ファイルを FTP 経由でアップロードしている場合は FTP パスワードを変更します。
  • ローカルマシンの FTP ログをクリアします。特に Windows 上で FileZilla を使用している場合
  • 最新版の WordPress を再インストールします。ただし既存インストールに対して上書きインストールせず、一度削除し、新規にインストールしてください。
  • すべてのプラグインとテーマが最新版であることを確認します。
  • インストールのファイル、フォルダーのパーミッションを確認します。
  • Apache の .htaccess ファイルを参照し、ルールが追加されていないことを確認します。
  • Filezilla でbackdoors を検索します。
  • security keys を更新します (Sucuri プラグイン はハックされた後のアクションを支援します)。

一部のユーザーがフィルターされていない HTMLを投稿できるのはなぜですか?

管理者または編集者 roles のあるユーザーは、フィルターされていない HTML を記事タイトル、記事コンテンツ、コメントに書きこむことができます。WordPress は結局のところパブリッシングのためのツールであり、ユーザーはコミュニケーションに必要なマークアップを含められる必要があります。権限レベルの低いユーザーについては、フィルターされていないコンテンツを投稿することはできません。

WordPerss に対してセキュリティテストを行う場合は、権限レベルの低いユーザーを使ってください。管理者が XSS をコンテンツに含めたり、Cookie を盗んだりする心配については、すべての Cookie は HTTP 配信のみに向けてマークされており、管理画面に使われる権限別 Cookie と、公開ページ用の権限に紐付けられていない Cookie に分けられています。管理画面ではフィルターのない状態でコンテンツが表示されることはありません。いずれにせよ、管理者はさまざまな上位権限を持っており、フィルターされていない HTML の投稿はそのひとつです。

WordPress マルチサイトでは、特権管理者のみがフィルターされていないコンテンツを投稿できます。それ以外のユーザーは信頼できない場合があるからです。

管理者も含めすべてのユーザーがフィルターされていない HTML を投稿できなくするには、wp-config.php に define( 'DISALLOW_UNFILTERED_HTML', true ); と記入してください。

一部のファイルを読み込んだ際、パスが公開されるのはなぜですか?

これはサーバー設定に関する問題だと思われます。公開サイトでは display_errors を決して有効化しないでください。

「パスワード再設定」メールを受信しました。なぜですか?

誰かがサイトのパスワード再設定のページにアクセスすると、メール「Someone has asked to reset the password for the following site and username (次のサイトおよびユーザー名のパスワードのリセットが要求されました)」が送信されます。このページはパスワードを忘れたユーザーに対して公開されているため、任意のユーザーがアクセスできますが、メールを受け取ったユーザーだけが自身のパスワードを変更できます。メールアカウントがハックされていない限り、このメールは無視できます。

FAQ へ戻る

最新英語版: WordPress Codex » FAQ Security最新版との差分