WordPressの /setup-config.php を探すBotアクセス|アクセスログ分析【Security Log #7】

vivisec
WordPressの /setup-config.php を探すBotアクセス|アクセスログ分析【Security Log #7】

※本記事にはプロモーションが含まれています。

WordPressサイトを公開すると、すぐにさまざまなBotによるスキャンが始まります。

実際にサーバーログを確認すると、公開から数日間で特定のURLへのアクセスが大量に記録されていました。

その中でも特に多かったのが次のURLです。

/wp-admin/setup-config.php

このURLはWordPressのインストール時に使用されるファイルですが、通常の運用サイトではアクセスされることはほとんどありません。

この記事では、実際のサーバーログをもとに、setup-config.php を探すBotの挙動を解説します。

実際のアクセスログ

公開後5日間のログを分析すると、次のURLへのアクセスが大量に確認されました。

/wp-admin/setup-config.php
/wordpress/wp-admin/setup-config.php

アクセス数(5日間)

/wp-admin/setup-config.php 321回
/wordpress/wp-admin/setup-config.php 318回

合計

639回

これは他のスキャンURLと比較しても圧倒的に多いアクセスでした。

setup-config.phpとは何か

setup-config.php は、WordPressの初期インストール時に使用される設定ページです。

WordPressのインストールは次の流れで行われます。

  1. WordPressファイルをサーバーに配置
  2. setup-config.php にアクセス
  3. データベース接続情報を入力
  4. wp-config.php が生成される

つまり、このページはWordPressをインストールする時だけ使われるファイルです。

インストール完了後は通常アクセスされることはありません。

最近のレンタルサーバーでは、管理画面からWordPressを自動インストールできるため、setup-config.php を直接使う機会はほとんどありません。
それでもBotは古い環境や手動インストールサイトを狙って、今でもこのURLをスキャンしています。

なぜBotがこのURLを探すのか

攻撃Botは、次のような手順でWordPressサイトをスキャンします。

WordPressサイトを発見

setup-config.php を試す

もしページが開く

未設定WordPress

サイト乗っ取りの可能性

つまり、このスキャンの目的は、「未インストールのWordPressサイトを探すこと」です。

もし setup-config.php が表示されてしまう場合、攻撃者がデータベース設定を行い、サイトを乗っ取る可能性があります。

サブディレクトリのWordPressも探索している

今回のログで興味深かったのは、次のURLも大量にアクセスされていたことです。

/wordpress/wp-admin/setup-config.php

これは、Botが

example.com/
example.com/wordpress/
example.com/blog/

のようなサブディレクトリ型WordPressも同時に探していることを示しています。

このログから分かること

今回のログから、次のようなことが分かります。

  • WordPress公開直後から自動スキャンが始まる
  • Botは未設定WordPressサイトを探している
  • サブディレクトリ構成も想定してスキャンしている
  • 特定のURLを機械的に巡回している

つまり、WordPressサイトは公開した瞬間から自動スキャンの対象になるということです。

セキュリティ上の問題はあるのか

結論から言うと、通常のWordPressサイトでは問題ありません。

WordPressのインストールが完了している場合、wp-config.phpが存在するため、setup-config.php は実行されません。

そのため、アクセスがあっても「404」、または「WordPressインストール済み」と表示されるだけです。

setup-config.phpへの対策は必要か

今回のようなsetup-config.phpへのアクセスは多くの場合、未設定サイトを探すためのスキャンです。

通常のWordPressサイトでは、インストールが完了していれば問題になることはほとんどありません。

ただし、公開直後や構築途中のサイトでは注意が必要です。

最低限やっておきたい対策

  • WordPressのインストールを完了させる(wp-config.phpを生成する)
  • 不要なWordPressファイルを公開状態にしない
  • テスト環境を公開サーバーに置かない

また、サーバーによっては不審なアクセスを自動的にブロックする機能が用意されている場合もあります。

このような機能を活用することで、不要なスキャンへの対応を軽減できます。

エックスサーバー公式サイト

まとめ

WordPress公開後のサーバーログを確認すると、setup-config.php を探すBotアクセスが大量に確認されました。

このスキャンの目的は、未設定WordPressサイトの探索です。

インストールが完了しているサイトであれば問題はありませんが、公開直後のサイトでもBotによる探索が始まることが分かります。

WordPressを運用する場合は、こうした自動スキャンが常に行われていることを理解しておくことが重要です。

次回のSecurity Log

次の記事では、WordPressサイトでよく確認される別のスキャンURLについて紹介します。

xmlrpc.php / wp-login.php など)

【WordPress Security Logシリーズ】

このブログの運営環境

  • WordPress
  • GeneratePress
  • エックスサーバー

エックスサーバー公式サイト