WordPress セキュリティスキャナー

自分のサイトが WordPress を利用していることを誇りに思うべきであり、その情報を隠す必要はありません。 ただし、WP の完全なバージョン情報をデフォルトの場所 (ページ ヘッダー メタ) で公開するのは賢明ではありません。 悪意のある人々は、簡単に Google を使用して、WordPress の特定のバージョンを使用しているサイトを見つけ、そのサイトをゼロデイ エクスプロイトの標的にすることができます。

前のテストで述べたように、サイトが WordPress を利用していることを誇りに思いますが、使用している正確なバージョンも非表示にする必要があります。 readme.html WP バージョン情報が含まれており、デフォルトの場所 (WP ルート) に放置されている場合、攻撃者は簡単に WP バージョンを見つけることができます。

WordPress のバージョンと同様、使用している PHP の正確なバージョンを公開することは賢明ではありません。公開すると、サイトへの攻撃がはるかに容易になるからです。 この問題は WP に直接関係するものではありませんが、サイトに影響を与えることは間違いありません。

ユーザー名を公開することはひどい間違いではありません。 ログインするにはユーザー名とパスワードが必要であるのは明らかですが、これらを非表示にすることで、ハッカーがあなたのアカウントに強制攻撃を行うのを防ぐことができます。

デフォルトでは、ログイン試行に失敗すると、WordPress はユーザー名またはパスワードが間違っているかどうかを通知します。 攻撃者はこれを利用してシステム上でアクティブなユーザー名を見つけ出し、ブルートフォース手法を使用してパスワードをハッキングする可能性があります。

に関しては、すでにいくつかのセキュリティ問題が発生しています。 install.php ファイル。 WP をインストールすると、このファイルは役に立たなくなり、デフォルトの場所に保存して HTTP 経由でアクセスできるようにする理由はありません。

このファイルに関しては、すでにいくつかのセキュリティ問題が発生しています。 セキュリティの問題に加えて、知らないうちにデータベース アップグレード スクリプトを実行させるのは決して得策ではありません。 これは便利なファイルですが、デフォルトの場所ではアクセスできないようにする必要があります。

ブラウザをポイントするだけでアップロード フォルダー内のすべてのファイルを誰でも表示できるようにすると、アップロードされたすべてのファイルを簡単にダウンロードできるようになります。 それはセキュリティと著作権の問題です。

Windows Live Writer を使用していない場合、ページ ヘッダーに Windows Live Writer のリンクを表示して、WordPress を使用していることを全世界に伝える正当な理由はありません。

ピンバックなどの Really Simple Discovery サービスを使用していない場合は、ヘッダーでそのエンドポイント (リンク) をアドバタイズする必要はありません。 ほとんどのサイトでは、「発見されることを望んでいる」ため、これはセキュリティ上の問題ではありませんが、WP を使用しているという事実を隠したい場合は、これが最善の方法であることに注意してください。