WordPressセキュリティ

WordPressセキュリティに関する記事をまとめています。

WordPressは世界中で広く利用されているCMSですが、その普及率の高さから攻撃対象になることも少なくありません。

ブルートフォース攻撃、Botによるスキャン、設定ミス、プラグインの脆弱性など、さまざまなセキュリティリスクが存在します。

このタグでは、WordPressサイトを運営する上で知っておきたいセキュリティの基礎知識や、実際のアクセスログをもとにしたBotスキャンの分析、設定ミスによって起こり得る問題などを解説しています。

WordPressで考える Authentication bypass via flawed state machine|ログイン手順の順番が崩れると何が起きるのか

vivisec
WordPressで考える Authentication bypass|ログイン処理の順番ミスで管理者になれる脆弱性

今回は、Web Security Academyの「Authentication bypass via flawed state machine」 というラボを解説します。 このラボでは、ログイン処理の順番の設計ミスによ … 続きを読む

WordPressで考える Flawed enforcement of business rules|クーポン割引が無限に使えるロジック欠陥

vivisec
WordPressで考える Flawed enforcement of business rules|クーポン割引が無限に使えるロジック欠陥

今回は、PortSwiggerのWeb Security Academyにあるラボ「Flawed enforcement of business rules」を解説します。 このラボでは、ECサイトのクーポン割引の処理ロ … 続きを読む

WordPressで考えるECサイト購入フローの脆弱性|Insufficient workflow validation

vivisec
WordPressで考えるECサイト購入フローの脆弱性|Insufficient workflow validation

※本記事にはアフィリエイトリンクが含まれています。 今回解説するのは、Web Security Academyのラボ 「Insufficient workflow validation」 です。 このラボでは、ECサイト … 続きを読む

WordPress公開直後にBotアクセス|favicon取得から分かるスキャンの特徴【Security Log #1】

vivisec
WordPress公開直後にBotアクセス|favicon取得から分かるスキャンの特徴【Security Log #1】

WordPressサイトを公開した直後のサーバーログを確認してみました。 すると、公開からそれほど時間が経っていないのに、すでにアクセスが記録されていました。 公開したばかりなのに、もうアクセスがある。 「誰か見に来たの … 続きを読む

IPアドレス制限に安心していた私が気づいたこと|WordPress運営の失敗と現実

vivisec
IPアドレス制限に安心していた私が気づいたこと|WordPress運営の失敗と現実

10年ほど前にWordPressを運営していたときのお話です。 ある日、アクセスログを見ていて、違和感に気づきました。 ログイン試行の形跡。見慣れないIPアドレス。海外からのアクセスらしき記録。 それがブルートフォース攻 … 続きを読む

WordPressで考えるWeak isolation on dual-use endpoint|パスワード変更機能の設計ミス

vivisec
WordPressで考えるWeak isolation on dual-use endpoint|パスワード変更機能の設計ミス

今回は、PortSwiggerのWeb Security Academyにある 「Weak isolation on dual-use endpoint」 というラボをもとに、Webアプリの設計ミスによって他人のアカウン … 続きを読む

WordPressで考える「Inconsistent security controls」|メール変更だけで管理画面に入れてしまう理由

vivisec
WordPressで考える「Inconsistent security controls」|メール変更だけで管理画面に入れてしまう理由

今回解説するのは、Web Security Academyのラボ「Inconsistent security controls」です。 このラボでは、本来は社員しか使えない管理機能に、一般ユーザーでもアクセスできてしまい … 続きを読む

WordPressで考えるInconsistent handling of exceptional input|メールアドレスの文字数制限ミスで管理者権限を奪われる脆弱性

vivisec
WordPressで考えるInconsistent handling of exceptional input|メールアドレスの文字数制限ミスで管理者権限を奪われる脆弱性

今回はWeb Security Academyのラボ「Inconsistent handling of exceptional input」 を解説します。 このラボでは、入力値が想定外の長さだったときの処理ミスによって … 続きを読む

WordPressで考えるLow-level logic flaw|大量注文で価格がマイナスになるECサイトのロジック脆弱性

vivisec
WordPressで考えるLow-level logic flaw|大量注文で価格がマイナスになるECサイトのロジック脆弱性

今回はWeb Security Academyの「Low-level logic flaw」ラボをもとに、ECサイトの購入処理に潜むロジックの欠陥を解説します。このラボでは、商品の数量を大量に追加することで価格計算が壊れ … 続きを読む

WordPressで考える2段階認証の脆弱性|認証コードを突破できるロジック欠陥とは

vivisec
WordPressで考える2段階認証脆弱性|認証コードを突破できるロジック欠陥とは

今回は、Web Security Academyのラボ「2FA broken logic」 をもとに、二要素認証の設計ミスについて解説します。 2段階認証(2FA)は、パスワードに加えてワンタイムコードを入力することで、 … 続きを読む