危険なWordPressインストール先ディレクトリ名まとめ

2019年5月10日WordPress (ワードプレス)

危険なWordPressインストール先ディレクトリ名まとめ

無断転載禁止

概要

私が管理しているウェブサーバーのアクセスログ (サーバーが自動的に作成する通信の記録) から判明した、ログインを試行されやすい危険な「WordPress」インストール先ディレクトリ名を公開します。


危険なディレクトリ

WordPress」をインストールする際に、セキュリティーの観点から、避けたほうがよいディレクトリ名は次のとおり。

  1. ルートディレクトリ

    ルートディレクトリ
    /

    ルートディレクトリにインストールするということは、自分が管理するドメイン名が「example.com」だったとするならば、 Web ブラウザーに「https://www.example.com/」と入力してアクセスした際に、「WordPress」の記事が表示されるということです。

    その場合、デフォルトだと、ログインページの URL は次のようになります。

    https://www.example.com/wplogin.php

    ログイン画面で入力する「ユーザー名」は、比較的簡単にバレてしまうので、あとは「ブルートフォースアタック」 (パスワード総当たり攻撃) を受けて「パスワード」が判明したら、他者にログインされてしまうことになります。

  2. blog, wordpress, wp など

    特に危険なサブディレクトリ名
    /blog/ /wordpress/ /wp/

    それならば、サブディレクトリを作って、そこに「WordPress」をインストールすれば良いのではないかと考えるかもしれませんが、敵を侮ってはいけません。

    敵は、サブディレクトリの URL を予測してアクセスしてきます!

    ルートディレクトリへのアクセスと、次に掲げる3つの URL へアクセスが同時に来ることは珍しくありません。

    https://www.example.com/blog/
    https://www.example.com/wordpress/
    https://www.example.com/wp/

    つまり、上に掲げた名前のディレクトリを作って「WordPress」をインストールすることは、セキュリティー対策として、あまり意味がありません。

    それどころか、ディレクトリの名前が「wordpress」や「wp」だった場合は、次に掲げる3つの事項がバレてしまうので、セキュリティー上、好ましくないです。

    1. そのディレクトリの中に、「ワードプレス」がインストールしてある
    2. 「ワードプレス」のログインページの URL さえわかれば、誰でも Web ブラウザーでログインを試行することができる
    3. ログインページの URL は、デフォルトだと、「wplogin.php」である

  3. その他

    その他の危険なサブディレクトリ名
    /cms/ /forum/ /info/ /news/ /portal/ /shop/ /site/ /web/ /website/

    サーバーには実在しないにもかかわらず、次のようなディレクトリにもアクセスが来ます。

    https://www.example.com/cms/
    https://www.example.com/forum/
    https://www.example.com/info/
    https://www.example.com/news/
    https://www.example.com/portal/
    https://www.example.com/shop/
    https://www.example.com/site/
    https://www.example.com/web/
    https://www.example.com/website/


まとめ

WordPress」をインストールする際は、インストールする場所を良く考えること。

インストールしたら一秒でも早くセキュリティー関連のプラグインを導入して、ログインページの URL を変更すること。


2019年5月10日WordPress (ワードプレス)

Posted by Atsushi Fukuda (atsushifukuda.jp)