wp-json/wp/v2/usersにアクセスされる理由|WordPressユーザー列挙の仕組みと対策【Security Log #16】
WordPressのアクセスログを見ていると、以下のようなリクエストを見かけることがあります。 「これは何をしているのか」「ユーザー情報が取得されているのではないか」 初めて見ると不安になりますが、このアクセスには明確な … 続きを読む
セキュリティ
WordPressに毎日同じ手順でアクセスが来る理由|実際のログから見るBotスキャンのパターン【Security Log #15】
WordPressサイトを運営していると、毎日のように同じ手順でアクセスが来ることがあります。 「これって攻撃されているの?」「なぜ同じURLばかり叩かれるの?」 実際のアクセスログを見てみると、そこには決まった手順で動 … 続きを読む
【WordPressで考えるSSRF】オープンリダイレクトで内部APIにアクセスする方法|WSAラボ解説
WordPressサイトのセキュリティ対策として、「特定のドメインのみアクセスを許可する(ホワイトリスト)」という実装はよく使われます。 一見すると安全に見えますが、この対策は条件によっては簡単に突破されます。 この記事 … 続きを読む
エラーメッセージの変化から内部到達を判断する方法|HTTPステータスとレスポンスの見方
Webアプリの挙動を調べていると、こんな疑問を持ったことはないでしょうか。 「このエラーって、安全なの?それとも中まで処理が届いてる?」 例えば、 一見するとただのエラーでも、その内容をよく見ると、どこまで処理が進んだか … 続きを読む
User-AgentとRefererは信用できない|WordPressログから見るBotの偽装例
WordPressサイトを公開すると、アクセスログにはさまざまなリクエストが記録されます。 その中には、一見すると「Google」や「Facebook」など、信頼できそうなアクセス元に見えるものもあります。 しかし実際に … 続きを読む
WordPressで考えるSSRFホワイトリストバイパス|URL解釈のズレで内部アクセスが可能になる仕組み
SSRF対策として、「特定のURLのみアクセスを許可する」というホワイトリスト方式が使われることがあります。 一見すると安全に思えますが、この方法だけでは不十分です。 今回のWeb Security Academyのラボ … 続きを読む
WordPressに来る海外ボットの正体|セキュリティ企業と攻撃者の違いとは【アクセスログ分析】
WordPressサイトを公開すると、アクセス解析やサーバーログに海外からのアクセスが大量に記録されることがあります。 特にアメリカからのアクセスが多く、「これって全部攻撃なの?」と不安に感じたことはないでしょうか。 私 … 続きを読む
企業サイトの13%がSSL未対応だった|HTTPのままのリスクと実態
営業リストを作成していると、企業サイトのURLをひたすら確認する作業が続きます。 その中で、少し気になることがありました。 「まだHTTPのままのサイトが普通にある…?」 今の時代、ほとんどのWebサイトはHTTPS(S … 続きを読む
WordPressでwp-login.php変更は意味があるのか?セキュリティ効果をログから解説
WordPressのセキュリティ対策としてよく紹介されるのが、ログインURLの変更です。 デフォルトのログインページである/wp-login.phpを別のURLに変更することで、攻撃を防げると言われています。 ですが実際 … 続きを読む
WordPressで考えるSSRF対策の回避テクニック|ブラックリストでの防御はなぜ破られるのか
SSRF(Server-Side Request Forgery)は、サーバーに外部リクエストを送らせることで、内部システムへアクセスできてしまう脆弱性です。 多くのアプリケーションでは、SSRFを防ぐために「local … 続きを読む