非公式のテーマ及びプラグインの削除

2014-10-27

WordPress のバックアップを行う出力のみのプラグインでも、ファイルをアップロードできてしまう(外部からサーバーへバックドアを保存できてしまう)脆弱性が見つかるなど、WordPress の脆弱性で最も注意したいのがプラグインです。そして昔から非公式のテーマやプラグインに特に問題が多く、改ざん事故の原因だったりもします。つまりリスキーです。熟知し管理できる場合は除きますが、放置している場合は公式のものに代替するなどして削除します。

また公式サイトで入手したものであっても、使いずらい、他に良いものがあったなどの理由で、停止はしているが削除はしていないこともあるかと思います。保存してあっても一利なしで、脆弱性などのリスクだけは残ってしまいます。そこで使っていないものは削除します。

非公式であったり使っていないテーマ及びプラグインの削除は脆弱性対策がその主な趣旨です。ちなみに脆弱性の多くは上記のようにファイルを直接操作するものです。すぐの削除が難しい場合は、隠ぺいやアクセス制限で対策し(レジュメをはじめから読んでください)、準備ができたら削除してください。

なお、非公式のテーマ及びプラグインを使い続ける場合は、保有リスクとして管理し、万が一、改ざん事故が起きた場合は削除します。すぐの変更が難しければ難しいほど、事故のない時に削除の準備を進めたほうがベストでしょう。

概要

初期の導入時に非公式のテーマ及びプラグインを入れている場合は削除します(公式のものに代替する)。また停止中のテーマ及びプラグインを削除します。

なお、アップロード時にないプラグインは自動的に WordPress から登録が外れます。削除するだけで他に作業することはありません。

また公式のものに代替する場合はそのテーマ・プラグインを公式サイトからダウンロードし、保存します。アップロード後の管理画面から有効にすれば登録完了です。

ちなみに使用中プラグインのアップデートは重要ですが、アップロード後の管理画面からバージョンアップできるためここでは最新版にしません。

手順

プラグインを保存しているディレクトリ「 bi400/ti200/ki100 」を開き、非公式のものや停止中のものを削除します。公式のものに代替する場合は、そのプラグインのディレクトリを保存してください。

またテーマを保存しているディレクトリ「 bi400/ti200/themes 」を開き、非公式のものや使用していないテーマを削除します。公式のものに代替する場合は、そのテーマのディレクトリを保存してください。

なお、すべての作業が完了してからアップロードします。その際に管理画面で新規のテーマ・プラグインを有効にします。削除したものは自動的に外れますのでこのままで OK です。

作業が完了したら、ログイン画面の暗号化(https)を行います(次の記事に進んでください)。

関連リンク

レジュメ: WordPress 隠ぺい方法 完成図 : 隠ぺい方法はこちらからスタートしています。
隠ぺいの総仕上げ 完成時のビデオです。
WordPress の安全性を高める WordPress Codex(公式オンラインマニュアル)

Copyright© 2014 WordPress セキュリティ対策デモサイト - 隠ぺいによるセキュリティ対策 - All Rights Reserved.
オレンジセキュアサービス株式会社
千代田区神田佐久間河岸70 第二田中ビル5F
www.orange-ss.com