TUBAME CHECK|WordPressサイトの設定状態を管理画面から確認できる軽量チェックプラグイン
TUBAME CHECK は、WordPress サイトの基本的な設定状態や、管理者が確認しておきたいポイントを、管理画面から手動で確認できる軽量チェックプラグインです。外部サービスへの通信、設定の自動変更、自動削除、自動修復は行わず、現在の状態を整理して表示することに特化しています。日常保守、納品前確認、運用中サイトの見直しなどで、サイト状態を把握しやすくするための確認ツールです。
なぜ TUBAME CHECK を作ったのか
ワードプレスレスキューでは、WordPressの不具合復旧、改ざん対応、マルウェア調査の現場で、数多くのサイト状態を確認してきました。
その中で、PHPバージョン、更新状態、ファイル権限、debug.log、uploads 配下の設定など、基本的な確認だけでも多くの見落としが起きやすいことを実感しています。
TUBAME CHECK は、こうした現場経験をもとに、外部に情報を送らず、サイトを自動で変更せず、管理者が確認すべき状態を安全に見える化するために作りました。
自動修復やマルウェア駆除を行うものではありません。
日々の保守や納品前確認、復旧後の状態確認を、より安全に、わかりやすく行うための軽量チェックツールです。
TUBAME CHECK とは
TUBAME CHECK は、WordPress サイトの「今の状態」を、必要なタイミングで管理画面から確認するためのプラグインです。常時監視や自動防御を行うタイプではなく、管理者が確認すべき設定や状態を一覧化し、確認作業を補助する用途を想定しています。外部の脆弱性データベース照会や外部 API 通信には対応せず、サイト内で取得できる情報をもとに結果を表示します。プラグイン紹介ページでは、実際の役割を必要以上に広く見せず、機能範囲を明確にすることが重要です。
WordPress Plugin Directory Guidelines
このプラグインの基本方針
TUBAME CHECK は、サイト状態の確認に集中できるよう、挙動をできるだけ明確にした設計方針を採っています。外部 API や外部サービスへ通信しないこと、自動修復・自動削除・自動設定変更を行わないこと、ファイル内容や秘密情報を画面に表示しないこと、確認結果を「正常」「確認推奨」「注意」「危険」「判定不可」で整理すること、そして最新結果・簡易履歴・CSV 出力で確認結果を残せるようにすることを基本方針としています。
このプラグインは、サイトを自動的に保護したり、問題を自動で解決したりするものではありません。あくまで、管理者が現在の状態を確認し、必要な対応を判断するための補助ツールとして設計しています。WordPress.org では、明示的な同意なしの外部通信や追跡、ユーザーに誤解を与える説明は避けることが求められています。WordPress Plugin Directory Guidelines
管理画面から手動で確認できること
TUBAME CHECK では、WordPress サイトの基本状態をカテゴリごとに確認できます。管理画面の「TUBAME CHECK」メニューから「今チェックする」を実行すると、現在の状態を確認し、最新チェック日時と危険度別件数を表示します。結果は画面上で確認できるほか、簡易履歴の表示や CSV 出力にも対応しています。CSV は日本語版 Excel で扱いやすいよう、UTF-8 BOM 付きで出力します。
主な確認項目
基本情報
PHP バージョン、WordPress バージョン、サイト URL、ホーム URL、SSL 状態、サイトマップ、デバッグ設定を確認します。PHP は 8.2 以上を推奨基準とし、サポート終了済みの PHP は危険として扱います。WordPress は 5 系以下を危険、6 系で最新版でない場合を注意として扱います。PHP や WordPress の更新状況を把握することは、一般的な保守・セキュリティ運用でも基本項目です。WordPress Security WordPress Security APIs
ファイル・ディレクトリ
wp-config.php、.htaccess、index.php、wp-admin、wp-content、wp-includes、debug.log の公開保護、uploads の PHP 実行防止設定、バックアップ・旧ファイル候補を確認します。index.php については、存在・サイズ・権限に加えて、base64、eval、gzinflate、長い Base64 風文字列、hex エスケープ、chr の連結など、難読化で使われることがある要素を確認します。これらが見つかった場合は確認対象として表示されますが、それだけで悪性コードと断定するものではありません。正常なコードでも使われる可能性があるため、結果は管理者による確認判断の補助情報として扱ってください。ユーザーに不必要な不安を与えないためにも、紹介ページでは「確認候補」と「断定」の違いを明確にすることが重要です。Google Helpful Content Google Search Quality Rater Guidelines Overview PDF
構成・認証設定
wp-config.php 構成確認、wp-config.php の配置、SALT 定数の有無を確認します。値そのものは表示せず、有無や状態のみを確認対象とします。秘密情報や認証関連情報は、確認に必要な範囲だけを扱う設計が望まれます。WordPress Security APIs
ユーザー・公開設定
管理者ユーザー数、ユーザー名 admin の有無、古い管理者アカウント、アプリケーションパスワード、検索エンジン表示設定、XML-RPC 状態を確認します。ユーザー名、メールアドレス、パスワード値そのものは表示せず、件数や有無など必要な範囲に限定して扱います。権限や認証まわりの情報は、表示のしかた自体にも配慮が必要です。WordPress Security APIs
更新・メンテナンス
WordPress 本体更新、プラグイン更新、テーマ更新、停止中プラグイン、未使用テーマ候補を確認します。更新状態の確認には、外部脆弱性データベースではなく、WordPress が保持している更新情報を参照します。更新管理は WordPress 運用で基本となる確認項目です。WordPress Security
パーミッション確認
wp-content 配下の 444・555 パーミッションのファイルやフォルダを確認します。444 や 555 の権限は、環境によっては意図的に設定されている場合もありますが、更新・削除・保守作業に影響することがあるため、管理者が把握しておきたい項目です。themes 配下で見つかった場合は、意図的な設定の可能性がある旨を注記する仕様です。こうした説明は、単に「危険」と断定するよりも、確認の必要性と判断余地を併記したほうが誤解を招きにくくなります。Google Helpful Content
uploads セキュリティ確認
uploads/YYYY/.htaccess、uploads/YYYY/MM/.htaccess を確認します。uploads フォルダについては、uploads/.htaccess に PHP 実行拒否の記述があるかを確認し、あわせて uploads 配下の年別・年月別フォルダ内の .htaccess の有無も確認対象とします。該当する .htaccess が見つかった場合は危険として表示し、ファイル内容そのものは表示しません。表示内容を必要最小限にとどめることは、確認ツール自身が不要な情報露出の原因にならないためにも重要です。WordPress Security APIs
確認結果の見方
チェック結果は、管理者が状態を把握しやすいように危険度ごとに整理して表示されます。「正常」は現時点で大きな確認事項が見当たらない状態、「確認推奨」は必ずしも異常ではないものの内容確認をおすすめしたい状態、「注意」は設定や更新状況に注意が必要な可能性がある状態、「危険」は早めに確認や対応検討が必要な状態、「判定不可」は環境や権限などの影響で十分な判定ができなかった状態です。表示される結果は、状態確認のための目安です。すべての問題の原因を自動判定したり、影響範囲を断定したりするものではありません。信頼性が重要な話題では、誇張よりも正確さと説明責任が重視されます。Google Helpful Content Google Search Quality Rater Guidelines Overview PDF
外部通信を行わない設計
TUBAME CHECK は、外部 API や外部サービスへ接続して結果を取得する方式ではなく、サイト内で確認できる情報をもとに状態を整理します。外部脆弱性データベース照会には対応していないため、外部サービスと連携する監視型ツールとは役割が異なります。外部送信を避けたい運用や、閉じた環境での確認用途にも使いやすい構成です。WordPress.org のガイドラインでも、プラグインは明示的な同意なしに外部サーバーへ通信・追跡してはならないとされています。WordPress Plugin Directory Guidelines
自動変更を行わず、状態確認に特化
TUBAME CHECK は、設定の自動修復、自動削除、自動変更を行いません。表示された結果をもとに、内容を確認し、必要な対応を管理者が判断するための補助ツールです。サイトに直接変更を加える処理を前提としないため、「まず現状を把握したい」「変更前に確認したい」という場面で使いやすい構成です。紹介文では、できることだけでなく、できないことも明確にするほうが信頼性につながります。Google Helpful Content
機密情報の内容は表示しない
TUBAME CHECK では、wp-config.php 構成や SALT 定数の有無などを確認しますが、値そのものは表示しません。ユーザー名やメールアドレス、パスワード値なども表示せず、件数や有無など、管理上の確認に必要な範囲に限定して結果を扱います。チェックツール自体が不要な情報露出の原因にならないよう配慮した構成です。入力値や機密データの扱いに慎重であることは、WordPress のセキュリティ設計でも基本です。WordPress Security APIs
debug.log の公開保護を確認
wp-content/debug.log が存在する場合、ルートまたは wp-content の .htaccess にアクセス拒否の記述があるかを確認します。エラーログは内容によって内部情報を含むことがあるため、公開状態の確認は保守上の重要ポイントのひとつです。ログやデバッグ情報の露出を避ける考え方は、一般的なセキュリティ実務とも整合します。WordPress Security WordPress Security APIs
更新・メンテナンスの確認
WordPress 本体、プラグイン、テーマの更新状態に加え、停止中プラグインや未使用テーマ候補も確認できます。日常保守や月次点検、納品前確認の際に、更新状況の見落としを減らしたい場合に活用できます。WordPress のプラグイン説明では、機能説明は簡潔かつ実用的であることが推奨されています。How Your Readme.txt Works
CSV 出力と記録
最新チェック結果は CSV として出力できます。出力項目には checked_at、項目名、状態、危険度、説明、確認方法、推奨対応が含まれます。CSV セルの数式注入を避けるため、危険な先頭文字を持つ値はエスケープする仕様です。保守記録として残したり、前回との差分確認や報告資料の整理に使いやすい形式です。セキュリティ関連の出力では、データの扱い方そのものにも配慮が必要です。WordPress Security APIs
こういう用途に向いています
納品前に WordPress の基本状態をまとめて見直したい場合、月次保守で確認結果を残したい場合、不審な状態がないか管理画面から確認したい場合、外部通信なしで状態確認を行いたい場合、常時監視ではなく必要なタイミングで確認したい場合、CSV で結果を残して報告や履歴管理に使いたい場合に向いています。役割を限定して説明することで、期待値のズレを減らしやすくなります。Google Helpful Content
できないこと・注意点
TUBAME CHECK は、WordPress サイトの状態確認を補助するプラグインです。マルウェア感染の断定、ファイルの自動削除、自動修復、自動防御、外部の脆弱性データベース照会、独自アップデートサーバー連携には対応していません。また、表示結果はサイト状態を確認するための参考情報であり、すべての問題や攻撃を検出・防止することを保証するものではありません。最終的な確認・修正・削除・復旧の判断は、サイト管理者が行ってください。WordPress.org では、誤認を招く説明や、実態以上の保証に読める表現は避けるほうが安全です。WordPress Plugin Directory Guidelines Google Search Quality Rater Guidelines Overview PDF
インストール
TUBAME CHECK は、公開後は WordPress 公式ディレクトリから入手できます。WordPress 管理画面の「プラグイン」→「新規追加」から検索してインストールするか、配布ページからダウンロードして利用してください。
免責事項
TUBAME CHECK は、WordPress サイトの状態確認を補助するためのプラグインです。本プラグインの利用により、すべての設定不備、不審ファイル、脆弱性、攻撃、または運用上の問題の発見・防止が可能になるわけではありません。結果の解釈や、その後の対応は、サイトの状況に応じて管理者の責任で行ってください。信頼性が重要なテーマでは、保証よりも範囲の明確化が重要です。Google Helpful Content