アフィリエイト広告を利用しています

WordPressのセキュリティには注意してください

wordpress.jpg

WordPressサイトのログを見ていたら、1日だけ異常に多くのアクセスがあり、しかも、その日のアクセスの大半が1つのIPアドレスという事からちょっと詳しく調べてみました。

パッと見て目に付くのがwp-config.php関係のアクセスの多さです。一部を抽出すると次のような感じのログでした。

getfile.php?file=..%2F..%2F..%2F..%2F..%2F..%2Fwp-config.php
download.php?file=..%2F..%2F..%2F..%2Fwp-config.php
general.php?file=wp-config.php
admin-ajax.php?action=..%2Fwp-config.php
pdf.php?fn=.pdf&file=..%2F..%2F..%2F..%2Fwp-config.php
macdownload.php?albid=..%2F..%2F..%2Fwp-config.php
?mdocs-img-preview=wp-config.php
?wpv-image=wp-config.php
?mdocs-img-preview=..%2Fwp-config.php

通常は404エラーとなりますが、セキュリティーホールがあればwp-config.php経由でパスワードが漏れてしまう可能性もあるのかなと思います。

特に気になったのが

/wp-content/themes/******/inc/download.php?file=..%2F..%2F..%2F..%2Fwp-config.php
/wp-content/themes/******/lib/scripts/download.php?file=..%2F..%2F..%2F..%2F..%2Fwp-config.php

/wp-content/plugins/******/php/jsmol.php?resource%3D..%2F..%2F..%2F..%2Fwp-config.php
/wp-content/plugins/******/controller/download.php?filepath=..%2F..%2F..%2Fwp-config.php

といったテーマファイル・プラグインを想定したアクセスです。使っていないテーマファイルやプラグインは消しておくのが無難と思います。

また、

wp-config.php.swp
wp-config.php.bak
wp-config.php.old
wp-config.php.save

という様なアクセスもありました。

SSHなどでサーバーに直接ログインしてエディタで編集している人は特に気を付けてください。(バックアップはアクセス制限を忘れがちなので……)

wp-adminのファイルも十分な注意が必要です。

/wp-admin/tools.php
/wp-admin/admin.php
/wp-admin/admin-post.php

へのアクセスもありました。

これらのファイルはサイトの管理者(編集者)以外がアクセスできる必要はないのでアクセス制限を検討した方がよいかもしれません。

WordPressは世界中で使われているCMSだけあって、世界中から常に狙われる対象になっています。セキュリティには十分注意してWordPressのサイトを運営してください。

タグ: Wordpress

この記事へのコメント

プロフィール

PC好きのアフィリエイターですが、最近はアフィリエイトへの興味がやや減少傾向

このブログもほとんど更新できていませんでしたが、今後は気が向いたときにつぶやきを投稿する形で運用していこうかなと思っています

にほんブログ村

当サイトについて
当サイトはA8.netが運営する会員向けブログサービス「 ファンブログ 」を利用しています。

当サイトに関してご意見等がありましたら、下記メールフォームより送信してください。今後の運営の参考とさせていただきます。
メールフォーム

Amazonのアソシエイトとして、当サイトは適格販売により収入を得ています。

Powered by ファンブログ

Build a Mobile Site
スマートフォン版を閲覧 | PC版を閲覧
Share by: