テーマカスタマイズ

functions.phpを編集して
レスポンスヘッダをスッキリさせる

2017.08.13

2017.08.19

スマホ

WordPressで構築したサイトのレスポンスヘッダに出てほしくない情報が出ていたのでをfunctions.phpを編集してスッキリさせます。

なぜレスポンスヘッダから情報を削除するのか?

隠蔽のセキュリティは効果がないと言われていますが、個人的には攻撃対象が不特定の場合は有効ではないのかな?と思っています。なのでレスポンスヘッダに攻撃者にとってヒントになりうる記述が含まれているのは望ましくないので対処します。

X-Pingbackの無効化

X-Pingbackを無効化してxmlrpc.phpの存在を隠します。xmlrpc.phpはピンバックやスマホでの投稿に利用されるみたいですが、アタックの対象になりますので不要であれば.htaccessでアクセスを禁止します。アクセスさせたくないファイルと言えば、wp-config.phpもさせたくないので、ついでにwp-config.phpのアクセスも禁止しておきます。

X-Pingbackの無効

functions.phpのどこかに記述

add_filter('pings_open', function(){return 0;});

.htaccessでアクセスを禁止する

<files ~ "^(wp-config\.php|xmlrpc\.php)$">
order allow,deny
deny from all
</files>

レスポンスヘッダのLinkを削除

パーマリンクを設定していてもレスポンスヘッダで?p=40のようにデフォルトのリンクを出力されてしまいますので削除。wp-jsonのパスもレスポンスヘッダに表示されますので削除します。

//ページid
remove_action('template_redirect','wp_shortlink_header', 11, 0);
//json
remove_action('template_redirect','rest_output_link_header',11,0);

不要な情報を削除してスッキリ

これを行ったからと言って爆発的に何か変わったというわけではありませんが、少しセキュアになり不要な情報も削除できたので気分的にスッキリです!

WEBSITE DESIGN REQUEST

ホームページ制作依頼について

W・D・Sでホームページ制作をご希望の方はお気軽にご相談ください。
制作内容、ご予算、納期をお知らせいただくとスムーズです。

ホームページ制作を相談する