これはホームページオーナーのせい(所為)ではないのだけれども!

 

 2つの区で人口合計が約37万人地域の、歯医者さんのホームページを調査してみました。

106ホームページの内、実に43WordPressで制作されている

 

 23/43のサイトが、ユーザー情報丸見えの状態。2343-2023)。

 

 そして、WordPressのログイン画面放置27(43-1627

wp-json放置
基本的なセキュリテイ意識の欠如

 

つまり、両方を放置している20サイトが一番危ない。

wp-login対策している3サイト安心できる炉は言えない。

 

 ユーザー情報丸見えはは、最も、憂うべき状況です。

「パスワード」だけ突破できれば攻撃者はログインが可能なんです。

 

(ユーザー情報を隠していても、

 example.com/?author=1と(1、2、3、と順番に)アクセスすれば

 ユーザー情報を解明することもできるのですからログイン画面放置も危険です。)

 

 ログインできれば、

改ざんなりすまし乗っ取りは、思うがまま、できてしまいます。

 

 ブルートフォースアタック(総当たり攻撃)で

パスワードを機械的に何度でも試せるわけですから

常に攻撃の対象になってしまっているということになります。

 

 調査対象の母数が少ないと思われるかも知れないですが、これが実情・事実です。(実に憂うべき状態です。)

 

 WordPressサイトは少しの知識があれば、簡単に作れてしまう為、セキュリティポリシーがない制作者が作ったホームページが増えてきたのかも知れません。

By 横浜の登録セキュリティプレゼンター

 

 あなたのホームページで、以下の2つを試してみてください。

1. http://example.com/wp-login.php

2. http://example.com/wp-json/wp/v2/users

※. example.comはあなたのURLに置き換えてください。

 

目次

危険1:WordPressのログイン画面(Wp-login.php)が公開されている... 2

危険2:あなたのホームページのユーザーIDを抜き出す... 3

表(調査したホームページの現状)... 4

調査したホームページのWordPressのバージョンの内訳は、... 4

関連記事:警告WordPressホームページがイケナイ理由... 4

関連記事:警告あなたのホームページ早急に2つの脆弱性対応が必要... 4

 

 

危険1:WordPressのログイン画面(Wp-login.php)が公開されている

http://example.com/wp-login.php

wp-login
目立つように色を赤色に変更しています。

 あなたのホームページのURLの後に/wp-login.phpと入力して上の様な画面が出てきたら、

要注意です。

 

 基本的なセキュリティ対策がされていません。

 

 WordPressのログイン画面へのアクセスするためのURLは非常に重要なので一般には公開するべきではありません。

 

 そのためのURLを安易にアクセスできる状態にするのは、絶対というほど控えるべきことです。

(wp-loginが公開されているということは、セキュリティ意識の無いホームページ制作会社によるものです)。

 

 ログイン画面をさらす行為はメリットがないばかりか、ログイン画面を他人に触らせるというデメリットしかありません。

 

 ユーザー名(ユーザーID)と、パスワードが分かってしまえば乗っ取られてしまいます。

WordPressの知識がある人なら、ログイン画面の入り口のURLはすぐわかるのです。

 

 ウェブ上のファイルやデレクトリ(フォルダ)にアクセスできない様に設定(BASIC認証)すべきことです。

 

 

危険2:あなたのホームページのユーザーIDを抜き出す

http://example.com/wp-json/wp/v2/users

 

 WordPressバージョン4.7以降では上記入力することで、ユーザー情報しができます。

example.comはあなたのURLに置き換えてください。

 

 以下はウェブブラウザのFirefoxで実行したものです(chromeでは見にくいので)

サイト特定できる情報およびユーザーIDなどはマスキングしています。

 

wp-json
ユーザー情報が丸見え。しかもadminが残っている

 

 上記の例は、ユーザーが3つですが、最初からあったadminがそのまま残されセキュリティ上問題です(セキュリティ的にはadminは削除し、adminと同等の権限を持つ別の名前のidでadmin権限であることが判りにくい命名でユーザーIDを追加します。)

 

 

wp-json-02-753-992-088.JPG
admin権限のユーザー情報が丸見え

 

 上記の例は、ユーザーが2つですが、adminが削除されていますがセキュリティ上問題です(セ、admin権限とハッキリわかる名前のidでユーザーIDが追加されています。)

 

 

 

 上記の2例ともSSL化(https:暗号化通信)に対応していますが基本的な部分が出来ていないので本末転倒というか、折角のSSL化も意味を成しません。

 

 なにも対策されていない状態は上記のようにユーザー情報が丸見えになります。

‘nameがユーザー名で、slugログインIDになります。

 

 実データですので、セキュリティ上マスキングしています。

slug(スラッグ、スラグ:コードネームみたいなもの。由来は新聞業界)

 

 この様な状態では、セキュリティ上まずい(問題である)ため、この機能を無効にする必要があります。

 

 この機能を無効にする適切なプラグインがあります。

http://example.com/wp-json/wp/v2/users を実行して、下の画像の様な表示であれば、

ユーザー一覧を表示する権限設定がなされているので、wp-jsonに、ついては安心できます。

wp-json設定
ユーザー一覧を表示する権限設定

(あなたのホームページの制作会社に問い合わせインストールしてもらってください。プラグインのアップデートなども必要となりますので、十分に気をつけて信頼のおけるホームページ制作会社に依頼してください。)

 

 ※.私のサイトはWordPressではないですが、同様にjson(JavaScript Object Notation)の仕組みがあります。

 今月は今日(6/20)までに、7回もアクセスがありました。
 (何かをしようとする人は、どこにもいる様です。

  この様な観点からもセキュリティは大事です)

 もちろん権限のない人のアクセスですから、Errorで返しています。

 この辺りは、さすがconcrete5です。(セキュリティもバッチリ)

 

wp-json
ユーザー情報とログイン画面の放置状況

表(調査したホームページの現状)

wp-json
43サイトの内wp-login未対応が27(63%) wp-sjon未対応も53%と驚くべき状況

 

wp-login放置の状態に驚きとともにホームページ制作業界の実情に情けなく思います。

 

調査したホームページのWordPressのバージョンの内訳は、

WordPress
WordPress

 

 最新バージョンの5.2.2(2019/06/18)

5.2.1(2019/05/22)が4サイト

5.1.1(2019/03/13)サイト、

5.0.3(2019/03/13)1サイト

そして、

4.9.10(2019/03/13)最も多く7サイト


やはりバージョン5.0(2018/12/10)の壁を乗り越えられていない。

 

以下、

4.8.9(2019/03/13)3サイト

4.6(2016/08/17)1サイト・・・・・・サポート切れ

4.4.18(2019/03/13)1サイト

4.4.2(2016/02/03)1サイト・・・・・サポート切れ

4.3(2015/08/19)1サイト・・・・・・サポート切れ

4.1.1(2015/02/20)1サイト・・・・・サポート切れ

3.3.2(2012/04/21)1サイト・・・・・サポート切れ

 

 そして無意味なバージョン隠しが、16

 (内5Wp-login.php公開し、さらにwp-json対策しが4、

   Wp-login.php非公開にしていてもwp-json対策しが2

 

関連記事警告WordPressホームページがイケナイ理由

wp正しく作る為に必要なこと
正しく作る為に必要なこと
wp運営していくために必要なこと
運営していくために必要なこと

 

関連記事警告あなたのホームページ早急に2つの脆弱性対応が必要