私たちは、「Digiplate」を通じて世界中の笑顔の総量を増やします。
システム開発&ホームページ制作の株式会社デジプレート

ホームページ制作

デジプレートからのお知らせ

2023/12/22
【注意喚起】WordPressサイトでの管理者情報公開のリスクについて

WordPressのWebサイトを運営する皆さまへ、

WordPressサイトでは管理者の情報が思いのほか簡単に取得できてしまう場合があります。
例えば、ホームURLの末尾に「/wp-json/wp/v2/users」というパスを追加すると、ユーザーの一覧情報を誰でも閲覧することが可能になります。

例: https://ご自身のサイトURL.com/wp-json/wp/v2/users

セキュリティ施策をしっかりと行っているWordPressサイトではあまり問題とはなりません。
そうでない場合、アカウント名が特定できるため不正アクセスを受けるリスクが高まる可能性があります。

その他、例えば企業ポータルサイトで従業員全員にアカウントを発行しており、ユーザー名を従業員名としている場合、全従業員の個人名が流出することになります。

この問題を防ぐためには、使用中のテーマの「functions.php」ファイルに以下のコードを追加することで、REST API経由でのユーザー情報の取得を防止できます。
※アプリケーションやスマートフォンアプリでWordPressを運用している方は、ログインできなくなるのでご注意ください。

/* REST APIでユーザー情報取得を無効にする */
function disabled_rest_user( $endpoints ) {
  if ( isset( $endpoints['/wp/v2/users'] ) ) {
    unset( $endpoints['/wp/v2/users'] );
  }
  if ( isset( $endpoints['/wp/v2/users/(?P<id>[\d]+)'] ) ) {
    unset( $endpoints['/wp/v2/users/(?P<id>[\d]+)'] );
  }
  return $endpoints;
}
add_filter( 'rest_endpoints', 'disabled_rest_user', 10, 1 );

もしご自身での対策が難しい場合・操作が不安な場合は、弊社へお気軽にご相談くださいませ。
ヒアリング・調査の上、安全な環境構築をサポートさせて頂きます。

===============================
お問合せ先
株式会社デジプレート   WEB事業部
===============================

※ユーザー情報一覧が公開されていると以下のような情報が見られます。


制作のご提案依頼・ご相談・
お問合せお待ちしております。
0798-38-2300
受付時間 平日09:00~18:00
ご相談・お問合せ

私たちは「デジプレート」を通じて世界中の笑顔の総量を増やします。

デジプレートは、コンピュータ情報技術を駆使し、すべてのお客様に「笑顔の時間をふやす」ためのサービスを提供し続け、デジプレートに関係したすべての人々の幸福を追求することで、よりよい社会の実現に貢献します。

会社概要 詳細

名称
株式会社デジプレート
役員
代表取締役 栗山 明久
専務取締役 戸田 大喜
事業内容
1.情報処理及び情報提供サービス業
2.インターネット関連事業 他
所在地
〒662-0978 兵庫県西宮市産所町15-13
TEL:0798-38-2300 FAX:0798-38-2323
資本金
3,000万円
PAGE TOP