デジプレートからのお知らせ
2023/12/22
【注意喚起】WordPressサイトでの管理者情報公開のリスクについて
WordPressのWebサイトを運営する皆さまへ、
WordPressサイトでは管理者の情報が思いのほか簡単に取得できてしまう場合があります。
例えば、ホームURLの末尾に「/wp-json/wp/v2/users」というパスを追加すると、ユーザーの一覧情報を誰でも閲覧することが可能になります。
例: https://ご自身のサイトURL.com/wp-json/wp/v2/users
セキュリティ施策をしっかりと行っているWordPressサイトではあまり問題とはなりません。
そうでない場合、アカウント名が特定できるため不正アクセスを受けるリスクが高まる可能性があります。
その他、例えば企業ポータルサイトで従業員全員にアカウントを発行しており、ユーザー名を従業員名としている場合、全従業員の個人名が流出することになります。
この問題を防ぐためには、使用中のテーマの「functions.php」ファイルに以下のコードを追加することで、REST API経由でのユーザー情報の取得を防止できます。
※アプリケーションやスマートフォンアプリでWordPressを運用している方は、ログインできなくなるのでご注意ください。
/* REST APIでユーザー情報取得を無効にする */
function disabled_rest_user( $endpoints ) {
if ( isset( $endpoints['/wp/v2/users'] ) ) {
unset( $endpoints['/wp/v2/users'] );
}
if ( isset( $endpoints['/wp/v2/users/(?P<id>[\d]+)'] ) ) {
unset( $endpoints['/wp/v2/users/(?P<id>[\d]+)'] );
}
return $endpoints;
}
add_filter( 'rest_endpoints', 'disabled_rest_user', 10, 1 );
もしご自身での対策が難しい場合・操作が不安な場合は、弊社へお気軽にご相談くださいませ。
ヒアリング・調査の上、安全な環境構築をサポートさせて頂きます。
===============================
お問合せ先
株式会社デジプレート WEB事業部
===============================
※ユーザー情報一覧が公開されていると以下のような情報が見られます。
最新のお知らせ
2024/07/29 | 夏季休暇のお知らせ |
---|---|
2024/03/12 | 健康経営優良法人2024(中小規模法人部門)認定のお知らせ |
2024/03/08 | システム幹事に紹介されました |
2024/01/22 | Google/Yahooのメール要件変更に伴うDMARC対応等について |
2023/12/22 | 【注意喚起】WordPressサイトでの管理者情報公開のリスクについて |