wordpressのバージョンと確認、非表示の方法

wordpressは標準だとそのシステムや他のプログラムファイルなどのバージョン情報がhtmlソースに含まれています。例えばcssやjavascriptを呼び出すコードに含まれていたり、metaタグにgeneratorとして登録されて表示されていたり。この記事ではwordpressのバージョン情報の確認方法とそれを隠す方法を記述していきたいと思います。

[ 目次 ]
  1. wordpressのバージョン確認方法
    1. wordpressのバージョンは隠した方がいいのか?
    2. セキュリティの重要度は?
    3. 隠したほうが良いケース
    4. 非表示の仕方
  2. まとめ

wordpressのバージョン確認方法

管理画面の右下にl表示されています。管理画面ならどのページに移動しても表示されていますので、特に複雑な操作をしなければ見えないというものではありません。

ホームページ上からだとソースコードを直接見れば分かります。標準で特に何も指定していない場合は、ソースコード内でスタイルシートやjavascriptを呼び出すURLの末尾に付記されています。またメタタグで使用しているシステムやそのバージョンをgeneratorとして表記していたりします。

ちなみにgeneratorとは発生器などに訳されますが、htmlやウェブサイトではこのページをこういうソフトで作成しましたよ~、という意味になります。また、metaタグはそのページの説明のようなものが記入されるタグのことです。

wordpressのバージョンは隠した方がいいのか?

バージョン情報は本来ソフトウェアのバージョンを示すためだけのもので、wordpressでもそれに準拠しています。特に問題となるようなデータでもありません。問題となるのであれば、そもそもwordpressシステムの開発側で対応して非表示にされるはずです。

ではなぜwordpressシステムの開発側でバージョン情報を非表示にしないのか?答えは簡単で最新のwordpress使っていればセキュリティー対策もバグ対策も施されているからです。もちろん未知の不備も考えられますが、それはどんなソフトウェアでも可能性があります。また、現在のwordpressは自動アップデートも施されているため、バージョン情報ぐらいでセキュリティー云々を考える必要はないかと思います。

セキュリティの重要度は?

危険性に対して警鐘を鳴らすことは非常に素晴らしいことなのですが、とかく人の不安を煽るような表現になりがちです。気を付けたいものですね。むしろパスワードやIDなんかで推測されやすいものを使わないようにする対応をされるほうが重要かも知れません。海外からの不正アクセスは特に多いですから。

ちなみに筆者はwordpressを運営する上で、このバージョン情報を隠蔽することに関してのセキュリティ的な重要度は低いと考えています。そもそも最新のwordpressを使っていれば隠す必要は全くないといっても過言ではないかと思います。

隠したほうが良いケース

ただし、例外もあります。それは何らかの理由でセキュリティホールが発見されているバージョンのwordpressを使っている場合です。このケースではセキュリティの不備が明確になっていますので、わざわざwordpressのバージョン情報が見えるようにしていても何の得もありません。

といっても、これもその存在を疎んじられるほど有名なサイトや敵視されやすいサイトじゃないと今すぐ慌てて対策しなければならないというものでもないと筆者は考えています。

放置した方が良いと言っているのではなく、慌てて何かをやってもロクなことがないからです。一つ一つ確実に対応していった方が結果的にうまくいくことの方が多いのではないかと思うからです。

しかしいつまでも古いwordpressのシステムを使っていても悩みの種が増えるだけですので、なるべく早急に新しいバージョンのwordpressへ切り替えた方が良いのは確かです。

wordpressのセキュリティ対策
wordpressは基本的にphpというプログラムで構成されています。そのため、セキュリティをすり抜けてphp特有の攻撃...

非表示の仕方

バージョン情報を削除するには、テーマ内の「functions.php」に以下のようなコードを記述します。優先順位の関係で上手く非表示にできない時は、これらの関数に第三引数で優先順位を指定して下さい。何も指定しなければ10ですので、問題があるケースではそれより大きな値を指定すると良いでしょう。

以下はcssとjsのバージョンを取り除きます。

add_action( 'style_loader_src', function($ver_wv){$ver_wv=remove_query_arg('ver', $ver_wv);return $ver_wv;});
add_filter( 'script_loader_src', function($ver_wv){$ver_wv=remove_query_arg('ver', $ver_wv);return $ver_wv;});

こちらはgeneratorのメタタグを削除します。ここではワードプレスというシステムとそのバージョンを除去。

remove_action('wp_head', 'wp_generator');

まとめ

ワードプレスのバージョンを非表示にする方法、いかがでしたでしょうか。ワードプレスのセキュリティは昨今さまざまなメディアで取りざたされますが、これはcmsといえばワープレと代表されるぐらいにメジャーになってしまったからです。攻撃する側も利用者の多いcmsを狙った方が時間や作業を省けて合理的になるので、有名どころのcmsが狙われる、という流れです。

ただ、メジャーであるからこそセキュリティにも力が入り、ホールがあればすぐに対応されてしまうという長所もあります。有名どころのcmsを使う利点はそこにあったりもします。

かつてのウィンドウズなんかもそうでしたね。OSといえばウィンドウズというぐらいその立ち位置は不動のものでした。そのため、セキュリティホールの発見と対策は延々と続いてその関連情報は頻繁にメディアで騒がれてしましたかね。。しかし、時代の流れと共にiphoneのiosやgoogleのAndroidの登場によってその影が薄くなっていったように思います。

ということですので、ワープレだからといって特に危険性がある訳でもありませんので、ご利用環境に応じて適切な対応をしてくださいね。