当サイト、Codex 日本語版は今後積極的な更新は行わない予定です。後継となる新ユーザーマニュアルは、https://ja.wordpress.org/support/ にあります。
万が一、当サイトで重大な問題を発見した際などは、フォーラムWordSlack #docs チャンネルでお知らせください。</p>

「FAQ/セキュリティ」の版間の差分

提供: WordPress Codex 日本語版
< FAQ
移動先: 案内検索
(最新英語版を反映 en:FAQ_Security 04:22, 10 May 2015‎ RDall 版)
(翻訳完了 en:FAQ_Security 04:22, 10 May 2015‎ RDall 版)
 
1行目: 1行目:
{{NeedTrans|一部}}
 
 
__TOC__
 
__TOC__
 
<div style="clear:both">
 
<div style="clear:both">
6行目: 5行目:
 
=== 「セキュリティ」問題とは?<span id="#What_is_a_.22security.22_issue.3F"></span> ===
 
=== 「セキュリティ」問題とは?<span id="#What_is_a_.22security.22_issue.3F"></span> ===
  
セキュリティ問題とは、WordPress インストールのセキュリティに影響する種類のバグのことです。
+
セキュリティ問題 (またはセキュリティの脆弱性) とは、WordPress インストールのセキュリティに影響する種類のバグのことです。
A security issue (or security vulnerability) is a type of bug that affects the security of WordPress installations.
+
  
If you've found a bug in the WordPress core code that you have determined can be used to gain some level of access to a site running WordPress that you should not have, then that is a security issue.
+
WordPress サイトにおいて、WordPress コアのコードに含まれたバグにより、ユーザーが保持しないレベルのアクセス権を意図的に獲得できる場合、これはセキュリティ問題です。
  
Before you report a security issue, please bear in mind the following:
+
セキュリティ問題を報告する前に、次の点に注意してください。
  
あなたのサイトがハッキング(クラッキング)されたということ自体はここでいうセキュリティ問題には含まれません。セキュリティ問題とは、サイトを攻撃するにあたって利用された脆弱性に関することです。
+
# あなたのサイトがハッキング(クラッキング)されたとしても、ここでいうセキュリティ問題では''ありません''。一方、攻撃者がサイトをハッキングした際にどのような侵入経路を使用したかはセキュリティ問題です。攻撃方法の詳細が分かる場合は security [at] wordpress.org へメールを送るか、[http://wordpress.org/support/ Support Forums] へ報告するか(英語)、[http://ja.wordpress.org/contact/ 日本語ローカルサイトのお問い合わせフォーム]から連絡してください。
# Your blog being "hacked" is ''not'' a security issue. A security issue will involve knowing how the attacker got in and hacked your site. If you have details on the attack vector, then email us at security at wordpress.org. If not, report the issue on the [http://wordpress.org/support/ Support Forums].
+
# パスワードを忘れたり、サイトにアクセスできない場合もセキュリティ問題ではありません。[[Resetting Your Password|ログインパスワードを変更・再発行する]] を試すか、サイト管理者やホストに連絡してください。
# Forgetting your password or losing access to your site is ''not'' a security issue. You should try [[Resetting Your Password|resetting your password]] or contacting your site administrator or host for help.
+
# 一般にセキュリティ問題は複雑な問題です。セキュリティ問題を報告すること自体は素晴らしいことです。まったく正しいことです。が、報告する内容が ''本当に'' セキュリティ問題なのかもう一度確認してください。そうでない場合はあなたと、そして報告先の専門家の時間を無駄にします。
# Generally, security issues are complex problems. If you want to report a security issue, then that's great! You're in the right place. However, be sure that what you're reporting is ''actually'' a security issue so you don't waste your own time or that of the experts you report it to.
+
# セキュリティのメールアドレスは''サポートではありません''。一般の問題を送らないでください。メールに返信はありません。代わりに[http://wordpress.org/support/ Support Forums] (英語)、[http://ja.wordpress.org/contact/ 日本語ローカルサイトのお問い合わせフォーム]を使用してください。
# The security mailing addresses are NOT for support. Don't send general problems to them. Your message will not be replied to. Use the [http://wordpress.org/support/ Support Forums] instead.
+
  
 
=== セキュリティ関連の問題を報告するには?<span id="Where_do_I_report_security_issues.3F"></span>===
 
=== セキュリティ関連の問題を報告するには?<span id="Where_do_I_report_security_issues.3F"></span>===
  
Before reporting a security issue, please make sure you've read the section above and determined that the issue is actually one of security.
+
セキュリティ問題を報告する前にもう一度上のセクションを読み、本当にセキュリティ問題かどうかを確認してください。
  
* For a '''[http://en.support.wordpress.com/com-vs-org/ WordPress.com] security issue''', please see the [http://automattic.com/security/ Automattic Security] page.
+
* '''[http://en.support.wordpress.com/com-vs-org/ WordPress.com] のセキュリティ問題''' については [http://automattic.com/security/ Automattic の セキュリティ] ページを参照してください。
 
* プラグインのセキュリティ問題については、できるだけ詳しい内容と共に plugins [at] wordpress.org へメールを送るか(英語)、[http://ja.wordpress.org/contact/ 日本語ローカルサイトのお問い合わせフォーム]からご連絡ください。
 
* プラグインのセキュリティ問題については、できるだけ詳しい内容と共に plugins [at] wordpress.org へメールを送るか(英語)、[http://ja.wordpress.org/contact/ 日本語ローカルサイトのお問い合わせフォーム]からご連絡ください。
 
* インストール型 WordPress ソフトウェアのセキュリティ問題については、できるだけ詳しい内容とともに security [at] wordpress.org へメールを送るか(英語)、[http://ja.wordpress.org/contact/ 日本語ローカルサイトのお問い合わせフォーム]からご連絡ください。
 
* インストール型 WordPress ソフトウェアのセキュリティ問題については、できるだけ詳しい内容とともに security [at] wordpress.org へメールを送るか(英語)、[http://ja.wordpress.org/contact/ 日本語ローカルサイトのお問い合わせフォーム]からご連絡ください。
  
In all cases, you should '''never publish details of a security vulnerability'''. Doing so is irresponsible and unprofessional.
+
どの場合も'''詳細なセキュリティの脆弱性を公開しないでください'''。それは無責任、かつ、素人のやり方です。
  
 
=== 著作権違反、名誉毀損、その他の法的問題を報告するには?<span id="Where_do_I_report_copyright_infringements.2C_libel.2C_and_other_legal_issues.3F"></span>===
 
=== 著作権違反、名誉毀損、その他の法的問題を報告するには?<span id="Where_do_I_report_copyright_infringements.2C_libel.2C_and_other_legal_issues.3F"></span>===
 
[http://wordpress.org/ WordPress.org]/[http://ja.wordpress.org/ ja.WordPress.org] ではサイトのホスティングは行っていません。WordPress.org は誰でもダウンロードして利用できるパブリッシングソフトウェアを配布しているだけで、誰がどのようにこのソフトウェアを使うかをコントロールすることはできません。言い換えると、WordPress.org にはコメント、投稿、サイトなどを取り下げる力は'''ありません'''。
 
[http://wordpress.org/ WordPress.org]/[http://ja.wordpress.org/ ja.WordPress.org] ではサイトのホスティングは行っていません。WordPress.org は誰でもダウンロードして利用できるパブリッシングソフトウェアを配布しているだけで、誰がどのようにこのソフトウェアを使うかをコントロールすることはできません。言い換えると、WordPress.org にはコメント、投稿、サイトなどを取り下げる力は'''ありません'''。
  
Instead of trying to contact WordPress, [http://whois.ansi.co.jp/ whois] 検索をして、サイトの運営者やホスティングサービスを発見し、それらの組織に違反を報告してください。
+
WordPress に連絡する代わりに、[http://whois.ansi.co.jp/ whois] 検索をして、サイトの運営者やホスティングサービスを発見し、それらの組織に違反を報告してください。
  
If you still can't determine the organization, these following articles by Plagiarism Today may help:
+
組織がわからない場合は Plagiarism Today の次の記事が役立つかもしれません。
  
 
* [http://www.plagiarismtoday.com/stopping-internet-plagiarism/3-finding-the-host/ Finding the Host]
 
* [http://www.plagiarismtoday.com/stopping-internet-plagiarism/3-finding-the-host/ Finding the Host]
41行目: 38行目:
 
=== サイトがハックされてしまいました。どうすればよいですか?<span id="I.27ve_been_hacked._What_do_I_do_now.3F"></span>===
 
=== サイトがハックされてしまいました。どうすればよいですか?<span id="I.27ve_been_hacked._What_do_I_do_now.3F"></span>===
  
If you have been hacked you should navigate to the [[FAQ_My_site_was_hacked|FAQ My Site Was Hacked]] for a more comprehensive list of steps.
+
サイトがハックされた場合、[[FAQ My site was hacked|FAQ: サイトがハッキングされた場合]]/[[:en:FAQ My site was hacked|en]] にアクセスし、詳細な手順に従ってください。
  
Two good plugins to assist in your manual search of infections include:
+
被害の手動検出を支援する 2 つのプラグインを紹介します。
  
 
* [https://wordpress.org/plugins/gotmls/ Anti-Malware]
 
* [https://wordpress.org/plugins/gotmls/ Anti-Malware]
 
* [http://wordpress.org/extend/plugins/exploit-scanner/ Exploit Scanner]
 
* [http://wordpress.org/extend/plugins/exploit-scanner/ Exploit Scanner]
  
They are not the end all to be all, but they could get you going in the right direction. Here is a short, succinct list, of things / actions you could also take:
+
完全な解決策ではありませんが、正しい方向に導くでしょう。また以下に実行すべき物事やアクションの簡潔なリストを示します。
  
* すべてのユーザーのパスワードを変更します。特に管理者と編集者のパスワードは重要です。(The [https://wordpress.org/plugins/sucuri-scanner/ Sucuri Plugin] can assist you with post-hack actions.)
+
* すべてのユーザーのパスワードを変更します。特に管理者と編集者のパスワードは重要です ([https://wordpress.org/plugins/sucuri-scanner/ Sucuri プラグイン] はハックされた後のアクションを支援します)
 
* ファイルを FTP 経由でアップロードしている場合は FTP パスワードを変更します。
 
* ファイルを FTP 経由でアップロードしている場合は FTP パスワードを変更します。
* Clear FTP logs on your local machine, especially if you are using FileZilla on Windows
+
* ローカルマシンの FTP ログをクリアします。特に Windows 上で FileZilla を使用している場合
* 最新版の WordPress を再インストールします。, but don't override existing, do fresh copies (remove and readd)
+
* 最新版の WordPress を再インストールします。ただし既存インストールに対して上書きインストールせず、一度削除し、新規にインストールしてください。
 
* すべてのプラグインとテーマが最新版であることを確認します。
 
* すべてのプラグインとテーマが最新版であることを確認します。
* Check permissions of your files/folders in the install.
+
* インストールのファイル、フォルダーのパーミッションを確認します。
* Check .htaccess file (Apache) for any additional rules added.
+
* Apache の .htaccess ファイルを参照し、ルールが追加されていないことを確認します。
* Look for [http://blog.sucuri.net/2012/07/website-malware-removal-wordpress-tips-tricks.html backdoors via Filezilla]
+
* [http://blog.sucuri.net/2012/07/website-malware-removal-wordpress-tips-tricks.html Filezilla でbackdoors] を検索します。
* [[wp-config.php の編集#Security_Keys|セキュリティキー]]を更新します。(The [https://wordpress.org/plugins/sucuri-scanner/ Sucuri Plugin] can assist you with post-hack actions.)
+
* [[Editing_wp-config.php#Security_Keys|security keys]] を更新します ([https://wordpress.org/plugins/sucuri-scanner/ Sucuri プラグイン] はハックされた後のアクションを支援します)
* [[FAQ My site was hacked|FAQ: サイトがハッキングされた場合]]/[[:en:FAQ My site was hacked|en]]もご覧ください。
+
  
 
=== 一部のユーザーがフィルターされていない HTMLを投稿できるのはなぜですか?<span id="Why_are_some_users_allowed_to_post_unfiltered_HTML.3F"></span>===
 
=== 一部のユーザーがフィルターされていない HTMLを投稿できるのはなぜですか?<span id="Why_are_some_users_allowed_to_post_unfiltered_HTML.3F"></span>===
74行目: 70行目:
 
これはサーバー設定に関する問題だと思われます。公開サイトでは <code>display_errors</code> を決して有効化しないでください。
 
これはサーバー設定に関する問題だと思われます。公開サイトでは <code>display_errors</code> を決して有効化しないでください。
  
=== Why did I get this "Password Reset" email? ===
+
=== 「パスワード再設定」メールを受信しました。なぜですか? ===
  
If you get an email saying "Someone has asked to reset the password for the following site and username" this means someone visited the password reset page on your blog.  Anyone can visit this page since it must be open to all for it to be accessible to those who have lost their password.  Your password can be reset only by those who can read your email.  If your email account has not been compromised, you can ignore this email.
+
誰かがサイトのパスワード再設定のページにアクセスすると、メール「Someone has asked to reset the password for the following site and username (次のサイトおよびユーザー名のパスワードのリセットが要求されました)」が送信されます。このページはパスワードを忘れたユーザーに対して公開されているため、任意のユーザーがアクセスできますが、メールを受け取ったユーザーだけが自身のパスワードを変更できます。メールアカウントがハックされていない限り、このメールは無視できます。
  
 
[[FAQ|FAQ へ戻る]]
 
[[FAQ|FAQ へ戻る]]

2015年5月24日 (日) 03:23時点における最新版

「セキュリティ」問題とは?

セキュリティ問題 (またはセキュリティの脆弱性) とは、WordPress インストールのセキュリティに影響する種類のバグのことです。

WordPress サイトにおいて、WordPress コアのコードに含まれたバグにより、ユーザーが保持しないレベルのアクセス権を意図的に獲得できる場合、これはセキュリティ問題です。

セキュリティ問題を報告する前に、次の点に注意してください。

  1. あなたのサイトがハッキング(クラッキング)されたとしても、ここでいうセキュリティ問題ではありません。一方、攻撃者がサイトをハッキングした際にどのような侵入経路を使用したかはセキュリティ問題です。攻撃方法の詳細が分かる場合は security [at] wordpress.org へメールを送るか、Support Forums へ報告するか(英語)、日本語ローカルサイトのお問い合わせフォームから連絡してください。
  2. パスワードを忘れたり、サイトにアクセスできない場合もセキュリティ問題ではありません。ログインパスワードを変更・再発行する を試すか、サイト管理者やホストに連絡してください。
  3. 一般にセキュリティ問題は複雑な問題です。セキュリティ問題を報告すること自体は素晴らしいことです。まったく正しいことです。が、報告する内容が 本当に セキュリティ問題なのかもう一度確認してください。そうでない場合はあなたと、そして報告先の専門家の時間を無駄にします。
  4. セキュリティのメールアドレスはサポートではありません。一般の問題を送らないでください。メールに返信はありません。代わりにSupport Forums (英語)、日本語ローカルサイトのお問い合わせフォームを使用してください。

セキュリティ関連の問題を報告するには?

セキュリティ問題を報告する前にもう一度上のセクションを読み、本当にセキュリティ問題かどうかを確認してください。

どの場合も詳細なセキュリティの脆弱性を公開しないでください。それは無責任、かつ、素人のやり方です。

著作権違反、名誉毀損、その他の法的問題を報告するには?

WordPress.org/ja.WordPress.org ではサイトのホスティングは行っていません。WordPress.org は誰でもダウンロードして利用できるパブリッシングソフトウェアを配布しているだけで、誰がどのようにこのソフトウェアを使うかをコントロールすることはできません。言い換えると、WordPress.org にはコメント、投稿、サイトなどを取り下げる力はありません

WordPress に連絡する代わりに、whois 検索をして、サイトの運営者やホスティングサービスを発見し、それらの組織に違反を報告してください。

組織がわからない場合は Plagiarism Today の次の記事が役立つかもしれません。

サイトがハックされてしまいました。どうすればよいですか?

サイトがハックされた場合、FAQ: サイトがハッキングされた場合/en にアクセスし、詳細な手順に従ってください。

被害の手動検出を支援する 2 つのプラグインを紹介します。

完全な解決策ではありませんが、正しい方向に導くでしょう。また以下に実行すべき物事やアクションの簡潔なリストを示します。

  • すべてのユーザーのパスワードを変更します。特に管理者と編集者のパスワードは重要です (Sucuri プラグイン はハックされた後のアクションを支援します)。
  • ファイルを FTP 経由でアップロードしている場合は FTP パスワードを変更します。
  • ローカルマシンの FTP ログをクリアします。特に Windows 上で FileZilla を使用している場合
  • 最新版の WordPress を再インストールします。ただし既存インストールに対して上書きインストールせず、一度削除し、新規にインストールしてください。
  • すべてのプラグインとテーマが最新版であることを確認します。
  • インストールのファイル、フォルダーのパーミッションを確認します。
  • Apache の .htaccess ファイルを参照し、ルールが追加されていないことを確認します。
  • Filezilla でbackdoors を検索します。
  • security keys を更新します (Sucuri プラグイン はハックされた後のアクションを支援します)。

一部のユーザーがフィルターされていない HTMLを投稿できるのはなぜですか?

管理者または編集者 roles のあるユーザーは、フィルターされていない HTML を記事タイトル、記事コンテンツ、コメントに書きこむことができます。WordPress は結局のところパブリッシングのためのツールであり、ユーザーはコミュニケーションに必要なマークアップを含められる必要があります。権限レベルの低いユーザーについては、フィルターされていないコンテンツを投稿することはできません。

WordPerss に対してセキュリティテストを行う場合は、権限レベルの低いユーザーを使ってください。管理者が XSS をコンテンツに含めたり、Cookie を盗んだりする心配については、すべての Cookie は HTTP 配信のみに向けてマークされており、管理画面に使われる権限別 Cookie と、公開ページ用の権限に紐付けられていない Cookie に分けられています。管理画面ではフィルターのない状態でコンテンツが表示されることはありません。いずれにせよ、管理者はさまざまな上位権限を持っており、フィルターされていない HTML の投稿はそのひとつです。

WordPress マルチサイトでは、特権管理者のみがフィルターされていないコンテンツを投稿できます。それ以外のユーザーは信頼できない場合があるからです。

管理者も含めすべてのユーザーがフィルターされていない HTML を投稿できなくするには、wp-config.php に define( 'DISALLOW_UNFILTERED_HTML', true ); と記入してください。

一部のファイルを読み込んだ際、パスが公開されるのはなぜですか?

これはサーバー設定に関する問題だと思われます。公開サイトでは display_errors を決して有効化しないでください。

「パスワード再設定」メールを受信しました。なぜですか?

誰かがサイトのパスワード再設定のページにアクセスすると、メール「Someone has asked to reset the password for the following site and username (次のサイトおよびユーザー名のパスワードのリセットが要求されました)」が送信されます。このページはパスワードを忘れたユーザーに対して公開されているため、任意のユーザーがアクセスできますが、メールを受け取ったユーザーだけが自身のパスワードを変更できます。メールアカウントがハックされていない限り、このメールは無視できます。

FAQ へ戻る

最新英語版: WordPress Codex » FAQ Security最新版との差分