PHP
WordPress
google
セキュリティ

【WordPress】ハッキング候補をググる(Google Dorks)

Google 検索は、世界トップレベルの天才達が開発を続けている、非常に優れた検索エンジンです。

私のような凡人は、何をするにも分からない事だらけですので、困った時はすぐ、この天才達が生み出した Google 大先生へ聞きます。

そうすると、大抵の事は解決まで導いてくれます。ありがたや~。

今回は、そんな Google 大先生があまりにも賢すぎて、ハッキング(クラッキング)1できそうな WordPress を効率よく探すためにも使えてしまうという話です。



Google Dorks(Google Hacking)

Google Dorks と書いた方が、日本語の情報が少なくて何だかカッコイイ気がしたので、記事タイトルにはこちらを採用しただけなのですが、手法としては 10 年以上前から知られているものです。

Google Hacking と書けば、「何だその事か…」という方も少なくないと思います(ゴメンナサイ)。

概要は、下記 Wikipedia の説明が簡潔だと思います。※残念ながら日本語版は無いようですので、英語が苦手な方は Google 翻訳をどうぞ!

要するに、Google 検索の賢いオプション検索機能を活用すれば、見れちゃいけない筈のファイルを、全世界へ「公開」してしまっているサイトを、効率よく探せます…という事です。



実際に試してみる

適当に思いついたものを 3 つだけ…。

極めた人であれば、もっとエレガントな例を書けるのでしょうが2、この程度のものでも意外と引っかかってしまうようですね…。



何でも公開ディレクトリに置く事の危険性

WordPress デフォルトの状態では、全てのファイルを「公開ディレクトリ」にアップロードして運用するようになっています。

昔ながらの、zip ファイルをダウンロード ⇒ 解凍して FTP でアップロード…のような方法でセットアップする方にとっては、扱いやすいファイル構成です。

しかし、何でも公開ディレクトリに置く事は、上記のような危険性もはらんでいるという事を、知っておいて欲しいなと思います。

【WordPress】WordPressのここがダメ でも触れていますので、注意喚起として参考になれば幸いです。





  1. WordPress の利用者層を考慮して、タイトルはあえて「ハッキング」という表現に変更しました。 



  2. このような検索例をデータベース化しているサイトもありますが、記事での紹介は差し控えさせていただきます。