WordPressのdebug=trueは危険|エラー表示が情報漏洩に繋がる理由【Security Note】
WordPressには、エラー内容を表示するためのデバッグ機能があります。 開発中には便利な設定ですが、本番環境で有効にしたままだと、サイトの内部情報をそのまま公開してしまう状態になります。 この記事では、debug=t … 続きを読む
WordPress攻撃
WordPress公開5日で来たbotスキャンURLランキング【サーバーログから分析】
WordPressサイトを公開すると、すぐに自動ボットによるスキャンが始まります。 「有名サイトじゃないから攻撃されない」と思われがちですが、実際には小規模サイトでも機械的なスキャンの対象になります。 この記事では、実際 … 続きを読む
WordPressの「/wp-login.php」スキャンとは│アクセスログ分析【Security Log #9】
WordPressサイトを公開すると、さまざまなBotがサイトの構造を調べるためにアクセスしてきます。 特に多く観測されるのが、ログインページ「/wp-login.php」へのアクセスです。 これまでのSecurity … 続きを読む
WordPress公開直後に来たxmlrpc.php POSTリクエスト|アクセスログ分析【Security Log #6】
WordPressを公開すると、インターネット上のボットによる自動スキャンがすぐに始まります。 これまでのログシリーズでは、WordPress公開直後に来たBotのアクセスやスキャンの様子を分析してきました。 今回は、W … 続きを読む
WordPress公開直後に来た「/.git/config」スキャン|アクセスログ分析【Security Log #4】
WordPressサイトを公開すると、検索エンジンだけでなく様々なBotがアクセスしてきます。 以前の記事では、公開直後にBotがアクセスしてくる様子や、最初に確認されるURLについて紹介しました。 【過去の記事】 今回 … 続きを読む