LoginSignup
2
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

@ounziw(Fumito MIZUNO)

WordPressを想定したアタックURLの記録

Last updated at Posted at 2017-05-18

WordPressを想定したアタックURLらしきものを、サーバーのログから拾ってきたのでメモしています。2017年4月~2017年5月前半ぐらいにあったものです。

ログインページ

/wp-login.php
/wp-admin/

ログインページへのアクセスと思われるもの。WordPressではないウェブサイトにも、このようなアクセスが結構あります。
ログインURL自体を変える方法もありますが、まずは管理パスワードを強固なものにする、という対策が重要だと思われます。

設定ファイル

/wp-config.orig
/wp-config.php.orig
/wp-config.php.bak
/wp-config.bak
/wp-config.php~
/wp-config.php.old
/wp-config.old

WordPressの設定ファイルのバックアップが、サーバー上にあるかどうかをチェックしにきていると思われるもの。もし、サーバー上に置いてある場合、データベースの接続情報が見えてしまう可能性があります。不要なファイルは置かないようにしましょう。

特定のテーマ

/wp-content/themes/churchope/lib/downloadlink.php
/wp-content/themes/awake/lib/scripts/dl-skin.php
/wp-content/themes/elegance/lib/scripts/dl-skin.php
/wp-content/themes/RightNow/includes/uploadify/upload_settings_image.php
/wp-content/themes/Ghost/includes/uploadify/upload_settings_image.php
/wp-content/themes/evolve/js/back-end/libraries/fileuploader/upload_handler.php
/wp-content/themes/satoshi/upload-file.php

ファイル名を見る限りでは、ファイルアップロード、ダウンロード関係のファイルにアクセスを試みているようです。
まず考えるべきなのは、「テーマでファイルアップロード機能を実装する」ことの問題でしょう。

  • テーマの役割を考えれば、独自のファイルアップロード機能を持つことは相当異常である
  • WordPressでは、テーマカスタマイザーという機能が用意されている(独自のファイルアップロード機能を実装しなくて良い)

なので、セキュリティや脆弱性を議論する以前の問題で、独自のファイルアップロード機能を持つテーマは避けるべきでしょう。

特定のプラグイン

/wp-content/plugins/myshe.php
/wp-content/plugins/SocketIasrgasfontrol.php
/wp-content/plugins/sql_dump.php
/wp-content/plugins/SocketIontrol.php
/wp-content/plugins/Fbrrchive.php
/wp-content/plugins/really-simple-guest-post/simple-guest-post-submit.php
/wp-content/plugins/dzs-zoomsounds/admin/upload.php
/wp-content/plugins/google-mp3-audio-player/direct_download.php
/wp-content/plugins/document_manager/views/file_download.php
/wp-content/plugins/paypal-currency-converter-basic-for-woocommerce/proxy.php
/wp-content/plugins/reflex-gallery/admin/scripts/FileUploader/php.php
/wp-content/plugins/peugeot-music-plugin/js/plupload/examples/upload.php
/wp-content/plugins/front-end-editor/lib/aloha-editor/plugins/extra/draganddropfiles/demo/upload.php

プラグインも、ファイル名を見る限り、ファイルアップロード、ダウンロードに関するものが多そうです。WP標準機能ではない実装を使いたくなる部分ではあるので、プラグインを導入する場合は、

  • メリットとリスクを考える(リスク以上にメリットがあるかを考える)
  • プラグインの実装を確認する

といったことが必要だと思われます。

情報募集中

他にも、こんなURLへアクセスがあった、という情報ありましたら、コメントでお知らせいただけると幸いです。

2
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?