wp-adminはなぜ狙われるのか│WordPressで最もスキャンされるURLの正体【Security Log #14】
アクセスログを見ていると、ほぼ必ず出てくるのが /wp-admin/ へのアクセスです。 何度もリクエストが来ていると、「自分のサイトが狙われているのではないか」と不安になるかもしれません。 実際のログでも、次のようなア … 続きを読む
セキュリティ
WordPress公開1ヶ月間のアクセスログ分析|Botの動きはどう変わったか【Security Log #13】
WordPressサイトを公開すると、すぐに攻撃されると言われています。 実際、アクセスログを見ると不審なリクエストが大量にあり、自分のサイトが狙われているのではないかと感じることもあります。 しかし、公開から1ヶ月分の … 続きを読む
localhostと内部ネットワークの違いとは│初心者向けに図解でわかりやすく解説
SSRFを学んでいると、こんな疑問が出てきます。 どちらも「内部っぽい」ので混乱しやすいですが、意味はまったく違います。 この記事では、localhostと内部ネットワークの違いを、図解イメージでシンプルに整理します。 … 続きを読む
WordPressで考えるSSRF│内部ネットワークをスキャンする攻撃|Basic SSRF against another back-end system解説
SSRF(Server-Side Request Forgery)は、サーバーに任意のURLへアクセスさせる攻撃です。 今回のWSAラボ「Basic SSRF against another back-end syste … 続きを読む
WordPressで考えるSSRF│localhostにアクセスする攻撃│Basic SSRF against the local server解説
Webアプリケーションには、外部サービスと連携するためにURLへHTTPリクエストを送る機能が実装されていることがあります。 例えば次のような機能です。 こうした機能は便利ですが、実装によってはサーバー自身が攻撃者の指定 … 続きを読む
WordPressのセキュリティ対策は何からやるべきか│初心者向けに最低限の設定を解説
WordPressサイトを公開すると、想像以上に早い段階でBotによるアクセスが始まります。 実際に私のサイトでも、公開直後から海外IPによるアクセスや、特定のURLを探すようなスキャンが確認されました。 「まだ誰にも知 … 続きを読む
WordPressのアクセスログを国別に分析|WP-Cron除外で見えたBotの実態【Security Log #12】
WordPressサイトを公開すると、すぐにさまざまなBotがアクセスしてきます。 これまでのログ分析記事では、Botの種類やスキャン対象のURLを中心に見てきましたが、今回は少し視点を変えて、「どの国からアクセスされて … 続きを読む
WordPressのdebug=trueは危険|エラー表示が情報漏洩に繋がる理由【Security Note】
WordPressには、エラー内容を表示するためのデバッグ機能があります。 開発中には便利な設定ですが、本番環境で有効にしたままだと、サイトの内部情報をそのまま公開してしまう状態になります。 この記事では、debug=t … 続きを読む
WordPressで起こるビジネスロジック脆弱性まとめ|認証バイパス・価格改ざん・クーポン不正の実例
WordPressのセキュリティというと、SQLインジェクションやXSSなどの技術的な脆弱性が注目されがちです。 しかし実際の攻撃では、仕様や設計のミスによって発生する「ビジネスロジック脆弱性」も多く利用されています。 … 続きを読む
WordPressで考える─メールアドレスの解釈のズレでドメイン制限が突破される仕組み
今回は、Web Security Academyの「Bypassing access controls using email address parsing discrepancies」というラボを解説します。 このラ … 続きを読む