2021年10月15日
WordPressのセキュリティには注意してください
WordPressサイトのログを見ていたら、1日だけ異常に多くのアクセスがあり、しかも、その日のアクセスの大半が1つのIPアドレスという事からちょっと詳しく調べてみました。
パッと見て目に付くのがwp-config.php関係のアクセスの多さです。一部を抽出すると次のような感じのログでした。
getfile.php?file=..%2F..%2F..%2F..%2F..%2F..%2Fwp-config.php download.php?file=..%2F..%2F..%2F..%2Fwp-config.php general.php?file=wp-config.php admin-ajax.php?action=..%2Fwp-config.php pdf.php?fn=.pdf&file=..%2F..%2F..%2F..%2Fwp-config.php macdownload.php?albid=..%2F..%2F..%2Fwp-config.php ?mdocs-img-preview=wp-config.php ?wpv-image=wp-config.php ?mdocs-img-preview=..%2Fwp-config.php
通常は404エラーとなりますが、セキュリティーホールがあればwp-config.php経由でパスワードが漏れてしまう可能性もあるのかなと思います。
特に気になったのが
/wp-content/themes/******/inc/download.php?file=..%2F..%2F..%2F..%2Fwp-config.php /wp-content/themes/******/lib/scripts/download.php?file=..%2F..%2F..%2F..%2F..%2Fwp-config.php
や
/wp-content/plugins/******/php/jsmol.php?resource%3D..%2F..%2F..%2F..%2Fwp-config.php /wp-content/plugins/******/controller/download.php?filepath=..%2F..%2F..%2Fwp-config.php
といったテーマファイル・プラグインを想定したアクセスです。使っていないテーマファイルやプラグインは消しておくのが無難と思います。
また、
wp-config.php.swp wp-config.php.bak wp-config.php.old wp-config.php.save
という様なアクセスもありました。
SSHなどでサーバーに直接ログインしてエディタで編集している人は特に気を付けてください。(バックアップはアクセス制限を忘れがちなので……)
wp-adminのファイルも十分な注意が必要です。
/wp-admin/tools.php /wp-admin/admin.php /wp-admin/admin-post.php
へのアクセスもありました。
これらのファイルはサイトの管理者(編集者)以外がアクセスできる必要はないのでアクセス制限を検討した方がよいかもしれません。
WordPressは世界中で使われているCMSだけあって、世界中から常に狙われる対象になっています。セキュリティには十分注意してWordPressのサイトを運営してください。
タグ: Wordpress
【ウェブデザインの最新記事】
この記事へのコメント