WordPressでwp-login.php変更は意味があるのか?セキュリティ効果をログから解説
WordPressのセキュリティ対策としてよく紹介されるのが、ログインURLの変更です。 デフォルトのログインページである/wp-login.phpを別のURLに変更することで、攻撃を防げると言われています。 ですが実際 … 続きを読む
WordPressセキュリティ
このカテゴリでは、WordPressサイトを運用する中で気づいたセキュリティのポイントをまとめています。
実際のサーバーログやサイト観察をもとに、
- Botのアクセス
- スキャンの特徴
- WordPressで起きやすいセキュリティ問題
などを分かりやすく解説しています。
wp-adminはなぜ狙われるのか│WordPressで最もスキャンされるURLの正体【Security Log #14】
アクセスログを見ていると、ほぼ必ず出てくるのが /wp-admin/ へのアクセスです。 何度もリクエストが来ていると、「自分のサイトが狙われているのではないか」と不安になるかもしれません。 実際のログでも、次のようなア … 続きを読む
WordPress公開1ヶ月間のアクセスログ分析|Botの動きはどう変わったか【Security Log #13】
WordPressサイトを公開すると、すぐに攻撃されると言われています。 実際、アクセスログを見ると不審なリクエストが大量にあり、自分のサイトが狙われているのではないかと感じることもあります。 しかし、公開から1ヶ月分の … 続きを読む
WordPressのセキュリティ対策は何からやるべきか│初心者向けに最低限の設定を解説
WordPressサイトを公開すると、想像以上に早い段階でBotによるアクセスが始まります。 実際に私のサイトでも、公開直後から海外IPによるアクセスや、特定のURLを探すようなスキャンが確認されました。 「まだ誰にも知 … 続きを読む
WordPressのアクセスログを国別に分析|WP-Cron除外で見えたBotの実態【Security Log #12】
WordPressサイトを公開すると、すぐにさまざまなBotがアクセスしてきます。 これまでのログ分析記事では、Botの種類やスキャン対象のURLを中心に見てきましたが、今回は少し視点を変えて、「どの国からアクセスされて … 続きを読む
WordPressのdebug=trueは危険|エラー表示が情報漏洩に繋がる理由【Security Note】
WordPressには、エラー内容を表示するためのデバッグ機能があります。 開発中には便利な設定ですが、本番環境で有効にしたままだと、サイトの内部情報をそのまま公開してしまう状態になります。 この記事では、debug=t … 続きを読む
WordPress公開5日で来たbotスキャンURLランキング【サーバーログから分析】
WordPressサイトを公開すると、すぐに自動ボットによるスキャンが始まります。 「有名サイトじゃないから攻撃されない」と思われがちですが、実際には小規模サイトでも機械的なスキャンの対象になります。 この記事では、実際 … 続きを読む
WordPressサイトに「/.env」スキャンが来た理由|アクセスログ分析【Security Log #10】
サーバーログを確認していると、次のようなアクセスが記録されていました。 私のサイトはWordPressです。WordPressでは通常、.envファイルは使用しません。 それでは、なぜこのようなファイルを探すアクセスが来 … 続きを読む
WordPressの「/wp-login.php」スキャンとは│アクセスログ分析【Security Log #9】
WordPressサイトを公開すると、さまざまなBotがサイトの構造を調べるためにアクセスしてきます。 特に多く観測されるのが、ログインページ「/wp-login.php」へのアクセスです。 これまでのSecurity … 続きを読む
WordPressサイトに「/admin」「/api」アクセスが来る理由|アクセスログ分析【Security Log #8】
サーバーログを確認していると、次のようなアクセスが頻繁に記録されていることがあります。 しかし、私のサイトはWordPressです。WordPressには通常、/admin や /api というURLは存在しません。 そ … 続きを読む