WordPress5.2、サイトヘルス機能でのセキュリティチェック項目一覧

2019年4月24日WordPress

今月末に一般アップデートとなるWordPress5.2で新機能「サイイトヘルス」が追加されます。サイトヘルスを利用するには、管理ページの「ツール」メニューから。

現在は日本語未対応となっていますが、Chromeの翻訳で問題なく把握できます。

サイトヘルスの得点

サイトヘルス画面上部に現在のWordPressでのセキュリティの得点(100点満点)が表示されています。

セキュリティに問題のある項目とクリアしている項目がレポートされています。

WordPressサイトヘルスのチェック項目一覧

サイトヘルス機能のチェック項目一覧と対策・解決策です。

WordPressのバージョンは最新かどうか

WordPressが最新のバージョンで動いているかどうか確認します。

SQLサーバーは最新の状態かどうか

MySQLバージョン5.6以上または MariaDBバージョン10.0以上。

非アクティブなプラグインは削除されているかどうか

プラグインは、連絡先フォーム、eコマースなどの機能でサイトの機能を拡張します。つまり、彼らはあなたのサイトに深くアクセスできるので、それらを最新に保つことが重要です。

非アクティブなプラグインは攻撃者の標的になります。プラグインを使用しない場合は、削除することをお勧めします。

非アクティブなテーマは削除されているかどうか

テーマはあなたのサイトのルックアンドフィールを追加します。ブランドとの整合性を保ち、サイトを安全に保つために、それらを最新に保つことが重要です。

サイトのセキュリティを強化するために、未使用のテーマを削除することをお勧めします。

※この項目ではデフォルトで入っている「Twenty Seventeen」は残しておく必要があります
クリアするにはそれらを21日間保持する必要があるとのこと?

PHPのバージョンは最新のものかどうか

PHPはWordPressの構築と保守に使用するプログラミング言語です。新しいバージョンのPHPはより速くより安全であるため、更新はあなたのサイトのパフォーマンスに良い影響を与えます。

※この項目をクリアするには本当に最新のPHPバージョンである必要があります。
今日現在では7.3が必要で、7.2xではクリアされません。

必須および推奨モジュールがインストールされているかどうか

WordPressコアはPHPエクステンションを利用します。優先拡張子がない場合、WordPressはモジュールが手助けするタスクを実行するためにより多くの作業をしなければならないか、あるいは最悪の場合、機能を削除します。そのため、以下にリストされているPHP拡張機能が推奨されます。

UTF8MB4がサポートされているかどうか

MySQLのバージョンがutf8mb4をサポートしている必要があります。

ウェブサイトはアクティブなHTTPS接続を使用しているかどうか

HTTPSは暗号化された通信プロトコルです。基本的には、ブラウザとWebサーバーの間に直接プライベートチャンネルがあるため、Webを閲覧するためのより安全な方法です。それが、ほとんどの主要サイトがそれを使用している理由です。

サイトは他のサービスと安全に通信できるかどうか

サーバー間の安全な通信は、ファイルの取得、店舗サイトでの販売の実行などのトランザクションに必要です。

スケジュールされたイベントは実行されているか

スケジュールされたイベントは、定期的にプラグイン、テーマ、そしてWordPress自体への更新を探すものです。それはまた予定された投稿が時間通りに発表されることを確実にするものです。計画されたアクションが確実に実行されるようにするために、さまざまなプラグインによって使用される可能性もあります。

HTTPリクエストは、期待どおりに動作しているか

サイト管理者が他のサイトやサービスへのすべてまたは一部の通信をブロックすることは可能です。正しく設定しないと、プラグインやテーマが意図したとおりに機能しなくなる可能性があります。

サイトは、出力デバッグ情報に設定されていないか

デバッグモードは多くの場合、エラーやサイトの障害に関する詳細を収集するために有効になっていますが、一般に公開されているWebサイトでは利用できないような機密情報を含んでいる場合があります。

REST APIが提供されているか

REST APIは、WordPressや他のアプリケーションがサーバーと通信するための一方通行です。その一例が、投稿やページを表示したり保存したりするためのブロックエディタ画面です。

WordPress.orgセキュリティと通信できているか

WordPressサーバーとの通信は、新しいバージョンの確認、およびWordPressコア、テーマ、プラグインのインストールと更新の両方に使用されます。

バックグラウンドアップデートが機能しているか

バックグラウンドアップデートにより、現在使用しているバージョンのセキュリティアップデートがリリースされた場合にWordPressが自動アップデートできるようになります。

ループバック要求を行うことができるかどうか

ループバック要求はスケジュールされたイベントを実行するために使用され、またコードの安定性を検証するためにテーマやプラグインのための組み込みエディタによっても使用されます。

サイトヘルスのチェック項目だけではセキュリティは足りない?

出てくる項目は必要最低限のもので、パスワードが複雑かどうかとか、WordPressログインの多段階認証等は入っていません。

サイトの規模や重要性によっては現状のサイトヘルスのチェック項目だけではセキュリティは足りないかとも思われますが、こうしてセキュリティを意識させてくれるのは有り難いですね。

2019年04月19日のベータテスト版時のサイトヘルス機能ですので今後チェック項目は追加されていく予定なのではないかと思われます。

2019年4月24日WordPress

Posted by ヨウスケ