最近ワードプレスドクターにallow_url_fopenに関しましてご質問をいただきました。セキュリティー上allow_url_fopenをOFFにする意味がワードプレスドクターではあまり意味がないと考えております。この理由を解説したく思います。


allow_url_fopen とは?

allow_url_fopenは、サーバー側で行うPHPプログラムの設定の一つです。こちらは一般的には有効になっています。

allow_url_fopenを非有効化するには、サーバーの設定やphp.iniに

allow_url_fopen=OFF

と記載します。
allow_url_fopenをoFFにするとPHPの関数file_get_contents,fopenで外部URLから情報が取得できなくなります。

file_get_contents,fopenでワードプレスのマルウェアが、外部から不正なコードを読み込む例が多数ありますので、このようなマルウェアの動作を防ぐにはallow_url_fopenをoFFにすることは有効かと思います。

マルウェアが外部から不正なコードを読み込む方法の主流はfile_get_contents,fopenではありません

しかし、外部からマルウェアが不正なコードを読み込む方法は、allow_url_fopenをoFFにして禁止できるfile_get_contents,fopenではなく、主流はむしろCURLを使う方法でございます。

下図はCURLを使うマルウェアの例です。
CURLのマルウェア

つまりCURLも停止しないと、主流の外部読み込み型のマルウェアの動作を防ぐことはできません。
ただ、CURLもfile_get_contents,fopenもワードプレス本体やプラグインでよく利用されますので双方をサーバーで停止してしまうとサイトの動作不全が起こったり、アップデートできなくなったりするかと思います。

マルウェアを駆除しきることと、脆弱性をふさぐことが重要となります

上記のように、サーバー上に残っているマルウェアの動作を疎外するよりも、マルウェアをサーバー上から駆除しきることが重要です。

マルウェアの検査駆除には無料で利用できるマルウェア検出プラグインを利用していただけます。

【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]

またセキュリティー対策を行い脆弱性をふさぐことも重要です。

無料でできるワードプレスのセキュリティー対策5選

ご参考になりましたら幸いです。

WordPress ワードプレスのマルウェア駆除・セキュリティー対策を一括で代行いたします。お気軽にご依頼ご相談お送りください