管理者ユーザ情報が丸見え。

✔ 管理者ユーザ情報が丸見え状態です。

✔ 管理画面が無防備に解放されています。（これとは別に）

対処が必要です。

このままでは、改ざん・情報漏洩・ランサムウェア被害などの対象となってしまいます。

SSL化はしていても、これでは何の意味もありません。

ブルートフォースアタックを受けたらひとたまりもありません。

あなたは、どこにいますか？捜索隊を出しましょうか？あなたのサイトが危ういんです。

あなたのサイトはセキュリティ対策も・管理者情報の隠匿も無く、ユーザ情報がダダモレ状態で取得されます。更に悪いことにログイン画面もそのまま公開されてます。捜索隊を出しましょうか？あなたは迷っていませんか？あなたのサイトは攻撃を受けやすいままです！

イイネ.biz

2025.08.13

パスワードが分かってしまえば、攻撃者の、思うがままです。

今すぐ、あなたのホームページのセキュリティ対策が必用です。

• 先ずは、管理者ユーザ情報を隠すことが先決です。
• 次に必要なことは、管理画面の名称を変更し、管理者以外秘密にすることです。

セキュリティ：対岸の 火事 、 いいえ 違います 「 改ざんされたサイト 」 は 身近に あります

改ざんされた６サイトの内、３サイトが閉鎖（その内の１つ、整体院は廃業？） あなたのサイトに訪れて、あなたのお客さんになってくれるかも知れない人たちが、フィッシングサイトに誘導されて被害に遭うことにも、さらにWordPressサイト43の内23サイトがユーザ情報丸見え、WordPressサイトに必要なセキュリティが担保されていない。これはもう、対岸の火事と思ってもいられない・あなたのサイトは重大なセキュリティ対策を見過ごしていませんか？あなたの知らない内にフィッシングサイトに誘導する改ざんが行われ犯罪の踏み台・片棒を担がされることになる。セキュリティ対策を怠ると、サイトオーナーの知らない内に加害者側に立たされることになります。

イイネ.biz

2022.10.17

今回は、管理者ユーザ情報を隠す手段をお伝えします。

あなたのホームページは、2019/11/25にリニューアルした様です。

にもかかわらず、

肝腎のセキュリティ対策の多くが未適用です。

あなたのWordPressバージョンは5.3.2で最新バージョンですが、バージョンアップだけでは不十分です。

バージョン4.7から対策を怠るとREST API機能により、簡単にユーザ情報を第三者が簡単に抜き出せるようになりました。

あなたのホームページ制作会社はこの事実を知らない。

あなたのホームページを制作・保守しているホームページ制作会社はこの事実を知らない

バージョン4.7（2016/12/07リリース）のREST APIの(3年も前の)機能を知らないから

• REST APIに対する対策を怠っているからセキュリティ意識もなく技術的にも未熟です。

事実が物語っています。

バージョン4.7と4.7.1では、このREST APIの脆弱性を突かれ全世界で155万以上サイトが改ざんされるというセキュリティ事故が起こりました。

　バージョン4.7.2でREST APIの脆弱性については、一旦対応されましたが、REST API自体に対する対応を誤ると、重大な事故（インシデント）に見舞われると言う状況はかわりません。

　事実それ以降も様々な脆弱性が発見され、その対応の為だけでも、WordPressはバージョンアップを繰り返してきています。

　そして、ここで注意しなければいけないことは、WordPress本体だけのバージョンアップだけでは、不十分なことです。

先のREST APIの脆弱性に端を発した改ざんでもわかる様に、

あなたのホームページが使用している。

API(Application Programming Interface)、テーマ（theme:）、プラグイン（plugin:）も常に最新版にバージョンアップする必要があるのです。

なぜなら、WordPress本体はWordPress.orgより長年、無償で提供され続けています。

しかし、

• API（アプリの機能や管理するデータなどを、外部の他のプログラムから呼び出して利用するための手順やデータ形式などを定めた規約を利用したもの）
• plugin（ごく簡単に言うと、WoirdPressの機能を補完するアプリ）
• thema（多くは、wordPressホームページの外観を装飾するもの。例えば業種・業態ごとのテーマ）

などは、有償・無償を含め、多くのサードパーティ（WordPress.org以外）が開発・提供してきているものが多く、

既に開発チームが解散して脆弱性対応ができなくなったものも少なくありません。

また脆弱性が見つかった場合でも、WirdPress.orgほどスピーディな対応は望めません。

ですから、これらの機能・制約を熟知したホームページ制作会社でなければ、対応できないのです。

WordPress自体は簡単な知識さえ身につければ、だれでも簡単にホームページを作ることができます。

WordPress自体は無償で提供されていますし、無償のAPI、plugin、themeも数多く存在しますから、知識さえあれば格安でホームページを作って売り出す（格安ホームページ制作が乱立しているのもこれらの背景があるからです）

でも、結果として安かろう悪かろうのホームページが多くなっているのです。

中途半端な知識で開発できることの弊害だと筆者は思っています。

実運用にそこそこ耐えられるかも知れませんが、

セキュリティ対策など、一切考えていないホームページが多くなっています。

ですがら、激安や安いと思われるホームページ制作には注意が必要なのです。

あなたのホームページも　（制作費は安くなかったかも知れませんが結果は最低です。もう一度言います・言い方は良くないですが「最低です」）

セキュリティに対して何も対策をしていない。

あなたのホームページが正にこの状態です。REST APIに対して何の対策をしていません（ホームページ制作会社の無知）

REST API 機能による管理者ユーザ情報の表示ができてしまう。

以下の図があなたのホームページの管理者ユーザ情報です。

ご覧いただいている様に管理者情報（IDの1番）が丸見えです。

ここではセキュリティ上マスキングしていますが、大切で秘密にしなければならない情報が全部見えています。

あなたも、実際にブラウザ（Firefox）のURL窓に、以下の入力をすると、ご覧いただけます（REST APIに対して何の対策をしていないと）

‘https://あなたのドメイン/wp-json/wp/v2/users 

‘https://あなたのドメイン/?rest_route=/wp/v2/users     

‘https://あなたのドメイン/?author=1

いづれかで、REST APIでこのサイトの鍵の１つユーザ情報はスグに分かります（何も対策がされていないから）

あなたのサイトの場合どれでもヒットします。

✔ SSL(暗号化通信)化されてはいますが、これでは何の意味もありません。

つぎはブルートフォースアタック（総当たり攻撃）でパスワードを解析されたら、次の攻撃の格好のターゲットになりかねないのです。

あなたは、どこにいますか？捜索隊を出しましょうか？あなたのサイトが危ういんです。

あなたのサイトはセキュリティ対策も・管理者情報の隠匿も無く、ユーザ情報がダダモレ状態で取得されます。更に悪いことにログイン画面もそのまま公開されてます。捜索隊を出しましょうか？あなたは迷っていませんか？あなたのサイトは攻撃を受けやすいままです！

イイネ.biz

2025.08.13

これを対策する無料のプラグイン（XO Security）

XO Security簡単インストール ＆ セットアップ

導入する場合pluginは、ここが、大事

最終更新：更新が止まっていないこと（現役であること）

使用中のWordPressと互換性があること（使えること）

有効化

「有効化」ボタンで有効化します

XO Securityには色々な機能があります

XO Securityには色々な機能がありますが、

今回適用するのは、

「WordPressのREST APIでユーザ情報を取得できないようにしておく」です。

他の機能は、

より分かりやすい日本製プラグイン（Site Guard WP Plugin）で実現しています。

このお話は、また別の機会に（Site Guard WP Pluginついてはここから））

REST API のURLプレフィックスを変更して

wp-jsonのアクセスを無効にします。

目的は、wp-json等のセキュリティ対策です。

• REST API の URL プレフィックスを変更
• wp-jsonのプレフィックスを変更で
  • /wp-json/対応
  • /wp-json/wp/v2/users対応
  • /hoge/wp-json/ 対応
  • /?author=n 対応
    • wp-json以外のプレフィックスの変更はSQLで行う

デフォルト設定（有効化した段階）

「ログインログ記録」がデフォルトで✅されていますが、他は全てチェックなしです。

「REST API」のタブをクリックして、設定します。

REST API URL変更    ✅ オン　にして

        プレフィックス欄に、管理するプレフィックスを入力（ここではマスクしています）

「変更を保存」で更新を有効にします。

REST API URL変更後の有効性確認

• wp-jsonのプレフィックス変更の有効性を確認
  • /wp-json/　確認

• /wp-json/wp/v2/users　確認

• 　 /hoge/wp-json/ 確認

• /?author=n対応

/?author=1　はリダイレクトされて、イイネ.biz/404 になりました。

データベースにXO Security専用テーブルが追加されました。

まとめ

PREST API に何も対策しないと、WordPress4.7から
投稿情報、固定ページ情報、ユーザ情報などもURLを指定するだけで簡単に見ることができます。

見るだけではなく、追加・更新・削除などもいとも簡単にあなたの知らないところから出来てしまうのです。

これらは、パスワード取得が前提ですが、パスワード取得も困難なことではないのです。

PRESTAPI自体を無効にすることもできますが、

他のプラグインなどもPRESTAPIを利用し始めているため、すべてをOFFにすると使えなくなってしまうプラグインなども出てきてしまう。

その為、今回は「ユーザ情報にはアクセスできないようにする」方法を取りました。

あなたは、下の数字を見てどんなふうに思われますか？
次にあげる例では、もっとも基本とされる対策がされているのは、割合からしてたったの30％しかないという事実です。
･･･これは、ホームページ制作会社のセキュリティ意識が低い事の表れです。

WordPressサイトに必要なセキュリティが担保されていない

ウイルス対策ソフトが入ったPCからサイトにアクセスすると、以下の様な警告が出る場合があります。

　これは、改ざんされたサイトにアクセスした場合です。
ですから、サイトのセキュリティ対策が大事になってくるのです。

これはホームページオーナーのせい（所為）ではないのだけれども！･･･

　まったく責任がない訳でもありません。

　2つの区で人口合計が約37万人地域の、歯医者さんのホームページを調査してみました。

106ホームページの内、実に43がWordPressで制作されている.

そして43サイトの内２つの切り口でセキュリティ対策がなおざり^※のサイトが20件も！

２つの切り口というのは、次の２つです。

1. ユーザ情報保護（wp-json対応：ユーザID・名称などを管理者以外に秘密にする）
2. ログイン画面を隠す（wp-loginの変更：管理者以外に秘密にする）

下の図でお伝えします。

※.なおざり：「なおざり」は「多くの場合、何の対応もしない」

上の図で言うと、①wp-json未対応の23件の内、wp-login未対応の20件がなおざり･･･ここまでくると、もはやずさんとしか言いようがない。

※.おざなり：「おざなり」は「いい加減ではあるにせよ、何らかの対応をする」

上の図で言うと、②wp-json未対応の23件の内、wp-login対応済の3件がおざなり

および、　　　③wp-json対応済の20件の内、wp-login未対応の7件がおざなり

※.なおざりも、おざなりも、現代語として考えた場合、
両方に共通している部分は、「いい加減な対応だ」ということです。引用：NHK放送文化研究所

　ですから、どちらも安心はできないのです。

つまり、この２つの切り口から見た場合、

43件中13件しか、ワードプレスの大事なセキュリティ対策の一部が出来ていないのです。
（他の対策も推して知るべし）

割合からしてたったの30％しかないのです。(基本対策されているサイトが!?)

母数が少ないですが、70％が管理画面に対するセキュリティ対策が出来ていないということです。

（セキュリティ対策は、これだけにはとどまりませんが、最も基本的な対策がとられていないことが、大きな懸念材料です。）

セキュリティ対策でわかること

このサイトでも判明！
このサイトは日本語専用サイトであるにもかかわらず、
僅か７日間の間に、なんと海外から161件の攻撃がありました。

また、admin(デフォルト管理者)による不正ログインの試みが224回もありました。

翌週には、さらに増えて合わせて282件もの攻撃がありました。

これは、セキュリティ対策をしているからこそ防ぐことができたことを表しています。
もちろん、完璧なセキュリティ対策というものは存在しません。
しかし、あまりにも杜撰な・または対策をしていないホームページが目立ちます。
下のブログカードのクリックで、セキュリティ対策の実態と、無用なプラグインの実際をお知りになることができます。

使っちゃいけないプラグイン 191本 [発見次第更新]使ってはいけないWordPress Plugin ➡️解除も！

サイト攻撃の約６割がプラグイン起因。セキュリティ問題で停止されたもの。３年以上メンテナンスされず導入注意なもの。フォーラムや他サイトで見かけた➡その数なんと191本を「使ってはいけないプラグイン」として上げます。 理由は、開発チームが解散し新たに脆弱性が見つかっても対応が困難と思われるから。wordpress.orgのサイトでも"このプラグインは WordPress の最新3回のメジャーリリースに対してテストされていません。

イイネ.biz

2026.02.05

「ホームページ制作会社の基本的なセキュリティ意識の欠如」

　そして、悲しいことにサイトオーナー（ホームページ所有者）は、この様なことをご存知ない。

ホームページ制作会社がこの様な、

いい加減でずさんなとも言える対応で、自分のサイトを作ったなどと夢にも思っていないことです。

悲惨な例は、被害者になること

　ランサムウェアを組み込まれて、身代金を要求されること

　自身のホームページを閉鎖せざる得なくなること

（ビジネスを続けるに欠かせない道具を失ってしまうこと）

（改ざんされた6サイトの内、３サイトがホームページを閉鎖してしまったことを筆者は知っています）

そして最も悲惨なのは、サイトオーナーの知らない内に加害者側に立たされること

　フィッシングサイトに誘導される改ざんをされ、
犯罪の踏み台にされること

あなたのサイトに訪れて、
あなたのお客さんになってくれるかも知れない人たちが、
フィッシングサイトに誘導されて被害に遭う

（信用して使ったホームページでだまされた。

あなたはその
ホームページを提供しているオーナーなので
犯罪の片棒を担いだのと同じと見なされます。）

刑事罰は受けなくても

　セキュリティ対策が出来ていない
（ホームページオーナーが怠った）

　（セキュリティ対策を怠って犯罪の踏み台にされ結果として犯罪の片棒を担ぐことになった）

　自分のホームページも管理できない
（ずさんな運営・管理していない）

　と、いった様な内容で信用ガタ落ち・信頼も失ってしまいビジネスに窮することになります。

あとから、脅威を取り払うことができたとしても、

　失った信用を取り戻すだけでも大変な思いをするはずです。

ホームページは手軽に持つことが出来ます。
しかし安易な制作（制作会社に全部お任せ(丸投げとも言います）で
チェックをしないなど）・なにもしない運用ではいけないのです。

10大脅威

IPA 独立行政法人 情報処理推進機構が毎年発表する内容から抜粋してお伝えします。

2019年10大脅威

情報セキュリティ10大脅威2019「個人」および「組織」向け脅威の順位

表1.2

「情報セキュリティ10大脅威2019」の個人の脅威を目的別に分類

表1.3

「情報セキュリティ10大脅威2019」の組織の外部または内部に存在する脅威に分類

2018年10大脅威

情報セキュリティ10大脅威2018「個人」および「組織」向け脅威の順位

それ程傾向の変化はありませんが、
（2019年にフィシングがいきなり2位に入りました）

この様な情報は無料で開示されてはいるものの、

中々・一般的にはなりにくく伝わりにくいものだと思います。

　いかがでしょうか？あなたが思っていたより、身近に脅威があるとお感じになりましたか？

ここの部分は、セキュリティ対策に係るもの（登録セキュリティプレゼンター）としてお伝えできればと思い添付しました。

　関連記事

要対策「情報セキュリティ10大脅威」2019

要対策「情報セキュリティ10大脅威」2019

IPAが発表した「情報セキュリティ10大脅威」2019/04あなたは充分な対策をしてきたでしょうか？2019年を振り返りつつ改めてこの重要な対策をお伝えしたく思います。そして対策の切り口としての「情報セキュリティ5か条」も1. OSやソフト...

a-itc.info

要対策「情報セキュリティ10大脅威2018」

情報セキュリティ10大脅威横浜スマホサイトITC

Googleが暗号化対策をしているサイトを評価Chrome最新版を公開。 今回はIPAが発表した「情報セキュリティ10大脅威」についてお伝えします。 横浜スマホ最適サイト制作。 SSL対策については、以下の記事を参照してください。

www.a-itc.info

WordPressサイト43の内23サイトがユーザ情報丸見え

　WordPressの管理画面（ダッシュボード）に入る為には、
ユーザID(名)とパスワードが必要です。

管理画面に入ることさえできれば、攻撃者の思うつぼです。

（改ざん、乗っ取り、情報漏洩（情報抜き取り）、フィッシングサイト^※への誘導書き込み、不正操作、コマンド注入（インジェクション攻撃）、なりすまし・・・などなど攻撃者の思う

管理画面（ダッシュボード）に入らなくても、攻撃はできます。

　ですから、この23サイトが最もリスキーなのです。

　※．筆者も、
フィッシングサイトへの誘導書き込み(改ざん)されたサイトを10数件見つけています。

　　　（証拠画像を後の方に添付します。）

この23サイトは 、 すでに ユーザID(名)が判明していることから、
あと必要なのはパスワードだけです。

そして、このパスワードはコンピュータを使った攻撃^※で、
わずかな時間で割り出すことができます。

この攻撃^※は人間が仕組みますが、人が行う訳ではないのです。
何日、或いは何か月、場合によっては何年かかっても良い訳です。

^※ブルートフォースアタック（総当たり攻撃）といい強引なやり方ですが、攻撃者の常とう手段の一つでもあります。

　IPA 独立行政法人情報処理推進機構　が
2008年のコンピュータで試算したデータがあります。

下が、その表です。
　出典：　IPA 独立行政法人情報処理推進機構　2008

　2008年の性能のコンピュータで、
４桁のパスワードなら、3秒から9分、
６桁でも英字だけなら37分(ピンク部分)、
白い部分でも約5日から54日で解読されてしまいます
（2019年のコンピュータならこれの数倍早いでしょう。
コンピュータにやれせれば良いので攻撃者は仕込むだけです）

基本的かつ重大なセキュリティ意識の欠如

つまり、両方を放置している20サイトが一番危ない。

wp-loginを対策している3サイトも安心できるとは言えない。

危険1　ユーザ情報丸見えは最も憂うべき状況の1つ

「パスワード」だけ突破できれば攻撃が可能なんです。

上記23サイトはユーザ情報丸見え、他のWordPressサイトでも以下の入力で解析される可能性

何も対策をしていないWordPressサイトでは、以下のコマンドで

危険：あなたのホームページのユーザIDを抜き出す

　WordPressバージョン4.7以降では上記の様に入力することで、ユーザ情報の抜き出しができます。
（ RESTful API ： REST( REpresentational State Transfer ) APIの実装）

• ‘http://example.com/wp-json/wp/v2/users

または、

• ‘http://example.com/?rest_route=/wp/v2/users
• ‘http://example.com/hoge/wp-json/
• ‘http://example.com/?author=1 で、

数字の１はユーザIDの登録Noです。1がなくても^※、2、3と数字を上げていけば、

※．通常1はデフォルト（初期設定状態）のadmin（アドミニストレータ）の登録Noです。最低限adminは通常削除しますから１がない場合もあります（１を別のユーザに割り当てる場合もあります）

SSL化（暗号化通信設定）していても、抜き出せます（何も対策をしていないと）

• ‘https://example.com/wp-json/wp/v2/users　などで、

　現に、
上記23サイトの内5サイトがSSL化 していました。
(内1件は2019/4/17リニューアルも済ですがユーザ情報はダ ダ 漏れ状態)
（もはや、この制作会社に･･･頼っているのは問題です。）

　Wp-json対策をしていないサイトのSSL化は無意味なんです。

　本末転倒なんです。
暗号化していても入り口情報がダダ漏れ（丸見え）ですから。

example.comはあなたのURLに置き換えてブラウザのFirefox^※で実施してみてください。

　※. Firefoxは、JSONを整形（見やすく）して表示してくれます。

　以下はウェブブラウザのFirefoxで実行したものです（chromeでは見にくいので）

サイトが特定できる情報およびユーザIDなどはマスキングしています。

ユーザ情報が丸見え。しかもadminが残っている

わかりにくくて申し訳ないのです

（セキュリティ上、あえて分かりにくくしています）

　上記の例は、ユーザが３つですが、

最初からあったadminがそのまま残されセキュリティ上問題です。

adminは削除し、
adminと同等の権限を持つ別の名前のidで
admin権限であることが判りにくい命名でユーザIDを追加します。

または、

adminではないユーザIDでWordPressのインストール・セットアップを行います。

admin権限のユーザ情報が丸見え

ここも分かりにくくて申し訳ないですが

（ユーザ情報が複数のサイトで洩れていることだけ伝えたく例２）

　上記の例は、ユーザが2つ
ですが、
adminが削除されていますがセキュリティ上問題です
（admin権限とハッキリわかる名前のidでユーザIDが追加されています。
名前の先頭にadmin-が付いています。）

 （筆者が抑えている範囲は他にもありますが、これ以上お見せしても分かりにくい画像ばかりでしかお伝え出来ませんので無意味になってしまいます）

　上記の2例ともSSL化(https:暗号化通信)に対応していましたが、基本的な部分が出来ていないので本末転倒というか、折角のSSL化も意味を成しません。

（もう一度言いますSSLが無意味なんです）

　この様な状態では、
セキュリティ上まずい（問題である）ため、
この機能を無効にする必要があります。

　この機能を無効にする設定方法や適切なプラグインがあります。

（このお話はまた別の機会に）

ユーザ情報が適切に管理されている場合

http://example.com/wp-json/wp/v2/users を実行して、下の画像の様な表示であれば、

ユーザ一覧を表示する権限設定がなされている例
wp-jsonに、ついては安心できます。

wp-json設定：ユーザ一覧などを表示する権限設定

危険2：WordPressのログイン画面が公開されている

‘ http://example.com/wp-login.php

目立つように色を赤色に変更しています。

通常は⇩下の様な色合いです。これもwp-login.phoで出てきたものだからアウトです。

　あなたのホームページのURLの後に/wp-login.phpと入力して
上の様な画面が出てきたら、

要注意です。

　基本的なセキュリティ対策がされていません。

WordPressのログイン画面から
WordPress管理画面（ダッシュボード）へのアクセスするための
URL( /wp-login.php )は非常に重要なので一般には公開するべきではありません。

　そのためのURLを安易にアクセスできる状態にするのは、絶対というほど控えるべきことです。

（wp-loginが公開されているということは、セキュリティ意識の無いホームページ制作会社によるものです）。

　ログイン画面をさらす行為はメリットがないばかりか、ログイン画面を他人に触らせるというデメリットしかありません。

 WordPress管理画面（ダッシュボード）への入り口

　ログイン画面でユーザ名（ユーザID）と、パスワードが分かってしまえば乗っ取られてしまいます。

WordPressの知識がある人なら、
ログイン画面の入り口のURLはすぐわかるのです。

最低限の対策（wp-login.php）ファイル名称の変更さえ行われていません。

あなたのホームページの制作会社に問い合わせてください。

セキュリティプラグインを採用する場合は、
プラグインのアップデートなども必要となりますので、
十分に気をつけて信頼のおけるホームページ制作会社に依頼してください。

対岸の 火事 、 いいえ 違います 。 「 改ざんされたサイト 」 は 身近に あります

私が、実際に発見した 改ざんされたサイト

6サイトが改ざんされ、3社がHP閉鎖、内１社は廃業、１社は不明

フィッシングサイトに誘導される改ざんされたサイト

上は
フィッシングサイトに誘導される改ざんがされたサイトのほんの１例です。

　もちろん

黙って見ている訳にも行きませんので、

封書で丁寧にお伝えした
・・・つもりだったんですが、上手く伝わらなかった様です。

何の音さたもありませんでした。（悲しいですよね？）

数か月後、再度サイトを確認してみると

半数が対応、半数はホームページ閉鎖となっていました。
（半年後か、それ以降だったと思います。）

②熊谷のエステ店、③北本の歯医者さん、⑤青山の歯医者さんは、

　フィッシング組み込みの削除には成功した様です。
他は、なにも変わっていません。
（少なくとも歯医者さんは医療広告ガイドラインを遵守しなくてはいけないのに、
今でも当時のままです。）

そして、サイト閉鎖した（せざるを得なかった）のは、

①千葉の歯医者さん、
　エキテンなどのページには載っているので営業はしている様です。

　（HPを再度立ち上げる気がないのか、残念な限りです）

④深谷の整体院は、
　ネット上に情報がありません。（今も）

　今のご時世で情報が無いのは廃業したとしか考えられません。

（ホームページが原因でなかったかも知れませんが･･･）

⑥は、どこのサイトだったか失念してしまったのですが、

　既にドメインが売られ中国語のカジノサイトになっていました

（これも悲しいです）
お知らせを無視しセキュリティ対策を怠った結果としても･･･やりきれないですよね

調査したホームページの状態

調査したホームページのWordPressのバージョンの内訳

　WordPress脆弱性とバージョン推移はここからご覧いただけます

WordPress 脆弱性とバージョン推移 v.6.9.1

WordPress 6.9.1 あなたのホームページがワードプレスで作られていて 何も対策をしていないと改ざんされたり・危険です。ホームページに訪れてあなたのお客さんになってくれるかも知れない人たちに不安を抱かれてしまいます。（あなたのホームページが何で作られているか？な人はお問い合わせください） WordPressは、積極的に保守されていますか？ WordPress.orgでは、「積極的に保守されている5.n系統の最新版以外の以下のバージョンは、安全に使用することはできません。」と公式に表明しています。以下に、WordPressの、脆弱性とバージョンの推移をお知らせします。

イイネ.biz

2026.02.05

5.4（2020/03/31予定のメジャーバージョン（新ブランチ5.4））
　
WordPressは、多くのブランチ（系）で、同時並行で開発・バージョンアップが進んでいる特徴(特異な形態)です（と、筆者は思っています。）

（余談ですが、多くのソフトウェアは全く別の系統、MS-DOSとWin3.XはDOSから進化してきたものですが別ものですし、Win-NT(サーバOS)とWin-95（PC用OS）も別物で複数のバージョンのブランチが同時リリースされることはありませんでした。例えが 古いですが、今でも、Windows-10とWindows-Serverは別物です。macOSはサーバOSのUNIXをベースに開発されたPC用OSですが、バージョン番号は昇順に推移しています。
アンドロイドOS（ Linux( Unix系OS )カーネルやオープンソースソフトウェアがベース ）も）

この特徴 が、
（5.3.2 最新、5.2.5 最新、5.1.4 最新、 5.0.8 最新 の様に複数のブランチが
　20/03/06時点、現役の様な）
多くのブランチのサポート（脆弱性対応など）が必要となる結果

　5.3　19/12/13 リリース は、お薦めしない。
   5.2　19/05/19 リリース も、
　5.1　19/03/11 リリース も、
   5.0　18/12/10 リリース も、お勧めしない。
　
　やむなく古いブランチの 脆弱性対応など を打ち切られることとなり、WordPressサイトの弱点につながっています。（と筆者は考えます）

 それゆえ、WordPressサイトのバージョンアップは必須なのです。

5.3.2（2020/01/02リリース：2020/03/05当記事の改定時点、5.3ブランチ最新）

5.3 　（2019/11/21リリース：5.3メージャーバージョン（5.3ブランチ））

5.2.5 （2019/12/13リリース：セキュリティリリース：5.2ブランチ最新）

5.2.2 （2019/06/18当記事の初版時点）

5.2.1　(2019/05/22リリース)が4サイト

5.2 　（2019/05/19リリース：メジャーバージョン5.2ブランチ

5.1.1　(2019/03/13リリース)が３サイト、

5.1 　（2019/03/11リリース：メジャーバージョン5.1ブランチ

5.0.3　(2019/03/13リリース)が1サイト

5.0 　（2018/12/10リリース：メジャーバージョン5.0ブランチ

そして、

4.9.13（2019/12/13リリース：セキュリティリリース：4.9ブランチ最新）

4.9.10　(2019/03/13リリース)が最も多く7サイト
やはりバージョン5.0(2018/12/10リリース)の壁^※を乗り越えられていない。 ･･･記事投稿時2019/06/18時点最新は、5.2.2

　　※.大幅な機能変更で、4.9ブランチ以下のバージョンからの自動バージョンアップは出来ない。

以下、

4.8.9　(2019/03/13リリース)が3サイト

4.6 　(2016/08/17リリース)が1サイト・・・・・・サポート切れ

4.4.18(2019/03/13リリース)が1サイト

4.4.2　(2016/02/03リリース)が1サイト・・・・・サポート切れ

4.3 　(2015/08/19リリース)が1サイト・・・・・・サポート切れ

4.1.1　(2015/02/20リリース)が1サイト・・・・・サポート切れ

3.3.2　(2012/04/21リリース)が1サイト・・・・・サポート切れ

　そして無意味なバージョン隠しが、16

関連記事：警告WordPressホームページがイケナイ理由

セキュリティ：警告！あなたのWordPressホームページが危ない理由

WordPressでホームページを作ると決めたときに必要なこと信頼できるホームページ制作会社に制作と保守を依頼すること「激安ホームページ」とか「格安ホームページ制作」などのキャッチフレーズを掲げているホームページ制作会社には依頼すべきではないと断言します。それらは、見栄えは良いかも知れないが結果的に「安かろう・悪かろう」で、あなたのホームページが終わってしまう

イイネ.biz

2022.06.22

正しく作る為に必要なこと運営していくために必要なこと

関連記事：警告あなたのホームページ早急に２つの脆弱性対応が必要

危険あなたのホームページ早急に２つの脆弱性対応が必要です

あなたのホームページ今すぐに脆弱性対応が早急に必要です。危険wp-login.phpが無防備に公開されています。これは玄関の鍵を開けたまま留守にしている状態と言えます。

a-itc.info