ブログやホームページを運営していると、

「このサイトはちゃんと安全なのかな？」 「WordPressの設定は大丈夫なのかな？」

と気になることはありませんか？

とはいえ、セキュリティと聞くと難しそうに感じますよね。

SSL証明書、HTTPヘッダ、xmlrpc.php、WordPressのバージョン……。 診断結果に出てくる言葉を見ても、専門知識がないと「結局どういう意味？」と思ってしまう方も多いのではないでしょうか。

私自身も、専門的なことをすべて理解できているわけではありません。

でも、カツプロの中にはサイト診断ができるものがあり、URLを入れるだけで自分のサイトの状態を確認できると知って、実際に試してみました。

今回は、カツプロメンバーとして実際にサイト診断を使ってみた感想と、診断結果に出てきた言葉の意味を、初心者目線でまとめてみます。

サイト診断のやり方はとても簡単

今回使ってみたサイト診断は、難しい操作は必要ありません。

基本的な流れは、診断したいサイトのURLを入力して、診断ボタンを押すだけです。

すると、そのサイトがどのような状態なのか、セキュリティ面で注意するところはあるのか、サーバーやSSL証明書の情報などが表示されます。

専門的な操作をしなくても、サイトの状態をざっくり確認できるので、WordPressでブログやホームページを運営している方には、一度試してみる価値があると感じました。

今回は、勝田さんが運営しているチアセブンアーチのURLを診断してみました。

診断結果が出たものの、正直よくわからなかった

診断ボタンを押すと、すぐに結果が表示されました。

ただ、結果を見た瞬間の私の感想は、

「これは良い状態なの？それとも悪い状態なの？」

でした。

セキュリティヘッダ、xmlrpc.php、WordPressのバージョン、SSL証明書……。 言葉の意味がわからないものも多く、初心者の私には、診断結果を見ただけでは判断が難しかったです。

そこで今回は、表示された診断結果をすべてコピーして、ChatGPTに聞いてみました。

実際に聞いたプロンプトはこちらです。

⸻

以下は、WordPressサイト診断の結果です。 私はセキュリティに詳しくない初心者です。

この診断結果が、良い状態なのか、注意が必要なのかをわかりやすく教えてください。

特に、 ・すぐに危険な状態なのか ・初心者でも理解しておいた方がいい注意点 ・今後見直した方がいいポイント ・専門用語の意味

を、ブログに書けるようにやさしい言葉で説明してください。

【ここに診断結果を貼り付ける】

⸻

すると、すぐに危険というよりは、今後見直しておくと安心なポイントがいくつかあるということがわかりました。

今回、主に注意点として出ていたのは次の3つです。

・セキュリティヘッダが少なめ ・xmlrpc.php が有効になっている ・WordPressのバージョンが見える状態になっている

一方で、良い点もありました。

・ログインIDの外部漏れはなし ・フォルダ一覧は無効 ・標準ログインページは未検出

つまり、全部が悪いわけではなく、基本的に守られている部分もあるようです。

そのうえで、もう少し整えると安心という結果でした。

／

診断結果の詳しい解説については、カツプロのオンラインレッスンで聞くことができます。 また、掲示板でも質問できる場合がありますが、回答があるかどうかはその時次第とのことです。

＼

こういう時に、ひとりで調べ続けるのではなく、聞ける場所があるのはありがたいなと感じました。

では、診断結果をChatGPTに聞いてわかった内容をもとに、今回出てきた注意点を見てみましょう。

ChatGPTに聞いてわかった3つの注意点

1. セキュリティヘッダが少なめ

今回の診断では、セキュリティヘッダが少なめと表示されました。

セキュリティヘッダとは、サイトを見に来た人のブラウザに対して、

「このサイトではこういう動きを許可します」 「こういう表示のされ方はしないでください」

と伝えるためのルールのようなものだそうです。

たとえば、他のサイトの中に勝手に自分のサイトを埋め込まれないようにしたり、不正なプログラムが動きにくくなるようにしたりできます。 今回の結果では、この部分は今後見直しておくと安心なポイントだと分かりました。

2. xmlrpc.php が有効

次に、xmlrpc.php が有効になっているという注意点が出ていました。

xmlrpc.php は、WordPressに外部から接続するための入口のようなものです。

たとえば、WordPressのスマホアプリから投稿したり、Jetpackなどの外部サービスと連携したりするときに使われることがあります。

ただし、現在は使っていないサイトも多いようです。

使っていないのに開いたままになっていると、ログインを何度も試す攻撃や、ピンバック機能を悪用した攻撃に使われる可能性があります。

今回の診断では、この xmlrpc.php が有効になっていました。

WordPressアプリやJetpack、外部投稿サービスを使っていない場合は、無効化しておくと安心そうです。

ただ、必要な場合もあるので、自分で判断が難しい場合は、オンラインレッスンや掲示板で聞いてから対応した方がよさそうだと感じました。

3. WordPressのバージョンが見える状態

診断では、WordPressのバージョンが外から見える状態になっていることも表示されました。

WordPressでは、ページの中にある generatorメタタグや readme.html というファイルから、使っているバージョンがわかる場合があります。

バージョンが見えること自体が、すぐ危険というわけではありません。

ただし、もし古いバージョンを使っていた場合、攻撃する側に、

「このサイトはこの弱点がありそう」

と知られやすくなる可能性があります。

今回の診断では、WordPressのバージョンが表示されていました。

数字が見えるから、すぐに危ないという話ではなさそうです。

SSL証明書とは？

診断結果には「SSL証明書」という項目も出てきました。

SSL証明書とは、サイトと読者の通信を暗号化するための仕組みです。

たとえば、お問い合わせフォームに入力した内容や、ログイン情報などが、第三者に見られにくくなるように守ってくれます。

SSL化されているサイトは、URLが「https://」で始まります。

反対に「http://」のままだと、通信が暗号化されていない可能性があります。

普段よく見るサイトのURLを見てみると、「s」がついているサイトと、ついていないサイトがありますよ！！

今回の診断では、SSL証明書の発行元や有効期限も表示されていました。

そのため、SSLについては大きな問題はなさそうです。

ただし、SSL証明書には有効期限があります。 期限が切れると、ブラウザで警告が出ることもあります。

多くのレンタルサーバーでは自動更新されることが多いですが、念のため有効期限を確認しておくと安心だそうです。

まとめ

サイト診断は、URLを入れて診断ボタンを押すだけで、サイトの状態を確認できる便利なサービスでした。

正直、私自身も専門用語をすべて理解できているわけではありません。

それでも実際に診断してみることで、WordPressサイトとしてよくある注意点に気づくきっかけになります。

今回も、すぐに危険というよりは、今後見直しておくと安心なポイントがいくつか見つかりましたね。

診断結果の詳しい解説は、カツプロのオンラインレッスンで聞くことができますし、掲示板でも質問できる場合があります！！

カツプロメンバーとして、こういう時に「ちょっと聞ける場所がある」というのは心強いなと感じました。

難しい言葉が出てくるとつい後回しにしたくなりますが、まずは診断してみるだけでも、自分のサイトを見直すきっかけになりますね。