株式会社レアル 様のホームページについて、外部から確認できる情報をもとに第三者として現状を整理しました。 確認されたポイントと、当社で対応させていただく場合のプラン概要を併せてご提案いたします。
現状のホームページは見た目の完成度は高い一方で、CMS(WordPress)本体と各プラグインの更新が2022年前後で止まっていることが確認できました。 直ちに不具合が起きている状態ではありませんが、「ログイン画面の所在」「登録ユーザー情報」「管理画面のURL」が外部から取得できる状態になっており、 運用を続けるうえで早めにご対応いただくのが望ましい項目が複数あります。 いずれも現在の制作会社様で対応可能な範囲が大半です。
| 確認事項 | 優先度 | 何が問題か |
|---|---|---|
| ログインID候補が外部から取得可能な状態 | 緊急 | 認証突破の試行に悪用されうる情報が外部から取得できる |
| WordPress本体・主要プラグインのバージョンが3〜4年前のもの | 緊急 | 過去に公表された既知の脆弱性がそのまま残っている可能性 |
隠し管理画面URL(/mn29cgv2eukv/等)が公開APIから漏れている |
緊急 | 管理画面URLを推測困難にする対策が機能していない |
開発環境URL(chk.rinn-kyomachi.com)が外部に見える |
優先度 B | 本来外部から存在を隠すべき開発環境の所在が露出 |
| sitemap.xml が外部無料ツールで生成されている | 優先度 B | SEO反映が遅れやすく、外部サービス停止時の影響を受ける |
| アクセス解析タグが複数設置されている | 優先度 B | 計測データが複数GAプロパティに分散する状態になり得る |
| 表示速度(初期表示 約0.85秒)が中速帯 | 優先度 C | 直帰率とSEO評価にマイナスに作用 |
| セキュリティ系HTTPヘッダーが未設定 | 優先度 C | ブラウザ側での攻撃耐性(多重防御の基礎設定)が不足 |
緊急 は、運用を続けるうえで早めにご対応いただくのが望ましい項目です。いずれも設定変更や更新作業で対処可能で、作り直しや大きな追加費用は不要な内容です。
| 項目 | 内容 |
|---|---|
| ドメイン管理 | お名前.com(GMOインターネット) |
| サーバー | エックスサーバー(共用サーバー・大阪DC)sv2223.xserver.jp |
| DNS(ネームサーバー) | ns1-5.xserver.jp(エックスサーバー管理) |
| CMS | WordPress(サブディレクトリ型 /wp-rinn/) |
| 多言語プラグイン | WPML v4.5.11(2022年頃のバージョン) 要更新 |
| SEOプラグイン | Yoast SEO v18.0(2022年頃のバージョン) 要更新 |
| 予約ウィジェット | tripla(外部サービス埋め込み) |
sitemap.xml に登録されているURL構成は以下の通りです。
| 内訳 | 件数 | 備考 |
|---|---|---|
| 日本語ユニークページ | 約 150 | トップ・施設紹介・コンセプト・予約関連等 |
| 多言語展開(英・中簡・中繁・韓) | 約 600 | 日本語 × 4言語 |
| 重複URL・開発用パス | 約 90 | 予約ウィジェットのパラメータ違い、/wp-rinn/配下の管理パス等 |
| 合計(sitemap上) | 約 840 | — |
外部から確認できる日付情報(ページのメタデータ、お知らせ投稿日、PDFの更新日など)を整理した、 サイト運用の時系列(想定)です。
| 項目 | 確認内容 |
|---|---|
| サイト公開日 | 2022年1月(WordPressメタデータより) |
| テーマアセットの改修痕跡 | 2024年に assets2024/ ディレクトリへの切替あり(テーマ大改修の痕跡) |
| トップページの最終更新 | 2024年8月27日(現時点から約1年8ヶ月前) |
| コンセプトページの最終更新 | 2025年6月13日 |
| プラグインの最終更新 | 2022年前後(WPML v4.5.11 / Yoast SEO v18.0) |
| お知らせ投稿の最新 | 2026年4月17日 |
| 年 | 投稿件数 | 傾向 |
|---|---|---|
| 2022年(12月のみ) | 2件 | サイト公開直後 |
| 2023年 | 5件 | 月平均 約0.4件 |
| 2024年 | 約13件 | 月平均 約1.1件 |
| 2025年 | 約26件 | 月平均 約2.2件(下半期以降活発化) |
| 2026年(4月まで) | 約7件 | 月平均 約1.8件(継続中) |
外部から確認できた範囲で、運用の観点から気になった8点を優先度順に整理しました。
REST API(/wp-json/wp/v2/users)が公開状態で、認証なしで登録ユーザー2名の情報(スラッグ・管理画面URL・表示名)が取得できる。
ログイン試行に必要な情報(ユーザー名候補・管理画面URL)が、同一のAPIから一度に揃ってしまう。
ユーザー一覧エンドポイントを外部から参照できない設定への変更。
WPML v4.5.11、Yoast SEO v18.0 など、主要プラグインが2022年頃のバージョンのまま更新停止。
過去に公表された既知の脆弱性がそのまま残っている可能性がある。
最新版への更新と、以後の定期アップデート運用の確立。
管理画面URLを別パス(/mn29cgv2eukv/)に変更済みだが、①のREST APIレスポンスに変更後のURLが含まれている。
URLを推測困難にする対策自体が、APIからの漏洩によって打ち消されている。
①の対応により同時に解消される範囲のため、別途の追加対応は不要。
開発用サブドメイン chk.rinn-kyomachi.com の存在がREST APIから確認できる。Basic認証は設定済み。
開発環境には検証中の機能や古いコンテンツが残ることが多く、所在自体を外部から隠すのが望ましい。
公開サイト側から開発環境URLが出力されない状態への設定調整。
外部無料ツール sitemapxml.jp で生成されている。Yoast SEO(導入済)にも同等機能がある。
SEO反映が遅れやすく、外部サービス停止時の影響を受ける。URL一覧が外部に渡っている。
CMS標準機能(Yoast SEO)による自動生成への一本化。
GA4タグが複数検出され、トップページと下層ページで構成が異なる(トップは5タグ、下層は3タグ)。サポート終了済のUA(Universal Analytics)タグも残存している。
計測データが複数のGAプロパティに分散する状態になり得る。運用で参照しているGAが定まっていれば大きな支障はない想定。
実際に運用で使用しているGA4プロパティの確認と、不要タグ(特にUA)の削除・整理。
トップページのTTFBが約0.85秒。宿泊施設サイトとしては標準〜やや遅めの部類(目標値は0.3〜0.5秒)。
直帰率とSEO評価に影響する。CDN・キャッシュが確認できず、毎回動的生成されている可能性が高い。
キャッシュまたはCDNの導入による高速化。
HSTS、Content-Security-Policy、X-Frame-Options、Referrer-Policy といったヘッダーが未設定。
ブラウザ側での多重防御(基礎設定)が不足している状態。
サーバー設定へのセキュリティヘッダー追加。
evidence/api-user-leak-evidence.html」にまとめています。
3章で整理した確認ポイントを、当社で対応させていただく場合のプラン概要です。
いずれも現WordPressサイトを維持したままでの応急処置・改善対応で、リニューアルではありません。
詳細は別紙「quote/quote-emergency-security-pack.html」をご参照ください。
特別割引: AIO診断+制作実施の場合、同時割引の適用があります。
本レポートで確認した内容は、以下のコマンドで第三者でも再現確認が可能です。
curl -s https://rinn-kyomachi.com/wp-json/wp/v2/users | jq .
curl -sI https://rinn-kyomachi.com/ | head -20
curl -s https://rinn-kyomachi.com/sitemap.xml | grep -c '<url>'
curl -s -o /dev/null -w "TTFB: %{time_starttransfer}s\n" https://rinn-kyomachi.com/
curl -s https://rinn-kyomachi.com/ | grep -Eo 'wp-(content|includes)/[^\"]+\?ver=[^\"]+' | sort -u