WordPressエラーがそのまま表示されている企業サイトの実態

vivisec
WordPressエラーがそのまま表示されている企業サイトの実態

営業リストを作成していると、企業サイトを1件ずつ確認することになります。

その中で、たまに「え、この状態で公開されてるの?」と思うような画面に出会うことがあります。

WordPressのエラーや不具合が、そのままユーザーに見える状態になっているケースです。

頻繁にあるわけではありませんが、いくつか実際に確認できたものをまとめてみました。

ヘッダー・フッターの読み込みエラー

ページを開くと、画面上部にPHPの警告がそのまま表示されていました。

Warning: include(../common/inc/header.php): failed to open stream: No such file or directory

ヘッダーやフッターの共通ファイルを読み込もうとして失敗している状態です。

おそらく、ファイルの配置ミスや、ディレクトリ構成の変更に対応できていないまま公開されているのだと思います。

検索結果から古いページにアクセスすると、この状態に当たるケースでした。

トップページが表示されない不具合

トップページにアクセスすると、背景色だけが表示され、コンテンツが一切見えない状態のサイトもありました。

DevToolsで確認するとHTML自体は存在していたため、CSSやJavaScriptの不具合で表示されていない可能性が高そうでした。

他のページは普通に表示されていたので、トップページだけ何かしらの処理がうまくいっていない状態です。

企業サイトとしてはかなり致命的な状態です。

お問い合わせフォームが機能していないケース

お問い合わせページにアクセスすると、フォームが表示されるはずの場所に、次のような文字列がそのまま出ていました。

[contact-form-7 id="xxx" title="お問い合わせフォーム"]

WordPressのショートコードが処理されておらず、そのまま表示されている状態です。

プラグインが無効化されている、またはテーマ側の設定に問題がある可能性があります。

ユーザーは問い合わせフォームが使えないため、機会損失にもつながります。

WordPressの重大なエラー表示

サイト全体が以下のメッセージだけになるケースもありました。

このサイトで重大なエラーが発生しました。

いわゆるWordPressの致命的エラーで、プラグインやテーマ、PHPの不具合などが原因で発生します。

この状態だとサイトとして機能しておらず、ユーザーは何も見ることができません。

プラグインによるPHP Warning

ページ上にPHPの警告がそのまま表示されているケースもありました。

Warning: preg_match(): Compilation failed: nothing to repeat at offset 1

プラグインのコードが現在のPHP環境に合っていない可能性があり、古いプラグインを使い続けているとこういったエラーが出ることがあります。

表示自体はされていても、見た目としてはかなり不安を感じる状態です。

SSL証明書エラー

アクセスした際に、ブラウザに強い警告が表示されるサイトもありました。

この接続ではプライバシーが保護されません

証明書とドメインが一致していない、または設定ミスが原因で発生するものです。

この状態では多くのユーザーがそのまま離脱してしまうと思います。

SSLが未対応のまま公開されているケースについては、以下の記事でもまとめています。

企業サイトの13%がSSL未対応だった|HTTPのままのリスクと実態

共通して感じたこと

今回見かけたケースに共通していたのは、どれも運用や設定の問題で起きているという点です。

  • 更新後の確認がされていない
  • 古いページや設定が残っている
  • プラグインや環境の管理が止まっている

こういった積み重ねで、エラーがそのまま公開されてしまっている印象でした。

セキュリティ的な視点で見ると

攻撃者視点で見ると、こういったエラー表示はヒントになります。

例えば、画面に出ている内容から

  • サーバー上のファイルパス
  • 使用しているプラグイン名
  • ディレクトリ構成

といった情報がそのまま分かることがあります。

実際にサイトを触る前の段階で、ある程度の内部構造が見えてしまう状態です。

また、エラーがそのまま公開されているということは、

  • 更新後の確認がされていない
  • 運用が止まっている可能性がある
  • 他の設定も甘いかもしれない

といった判断にもつながります。

IPアドレスでサイトが公開されているケースと同じで、「このサイトはあまり管理されていなさそうだな」という印象を持たれやすいポイントです。

もちろん、エラーが出ているだけで即座に攻撃されるわけではありませんが、こうした状態は優先的にチェックされるきっかけにはなります。

まとめ|エラーよりも放置されていることが問題

WordPressのエラーや不具合は、気づかないうちにそのまま公開されてしまっていることがあります。

問題なのはエラーそのものというより、その状態で公開され続けていることです。

営業リスト作成のように多くのサイトを見ていると、こうした状態にたまに出会います。

頻繁ではないですが、確かに存在しているケースです。

普段あまり意識されない部分ですが、一度自身のサイトも確認してみるといいかもしれません。

このブログの運営環境

  • WordPress
  • GeneratePress
  • エックスサーバー

エックスサーバー公式サイト