不審なアクセス
最近、暇な時間ができると、できるだけこのサイトのアクセスログを見るようにしています。
せっかく、自分のサイトを運営できる機会なので、いろいろと知っておきたいからです。
昨日の深夜1時から2時にかけて、不審なアクセスログがありましたので、紹介します。
そのIPアドレスは、まず g222.tech/ にアクセスしてきました。
トップページへのアクセスです。
最初のアクセスとしては、普通のものです。
次に、g222.tech/wp-includes/wlwmanifest.xml にアクセスしました。
WordPressの内部ファイルを見ようとしています。
当サイトは、WordPressを利用していますが、バックエンドだけで利用していますので、表側には出てきません。
404エラーを返します。
次に、 g222.tech/?author=1 にアクセスし、さらに g222.tech/?author=2 にアクセスしました。
これらもまた、WordPress特有のもので、ログインIDを調べようとしています。
当サイトの場合は、普通のトップページが表示されるだけです。
次に、 g222.tech/wp-json/wp/v2/users/ と、 g222.tech/wp-json/oembed/1.0/embed にアクセスしました。
これらは、WordPressのREST APIを悪用しようとするものです。
REST APIは、さまざまなサイトへ記事データを配信するときなどに使います。
便利な機能ですが、きちんとセキュリティ設定をしておかないと、脆弱性になります。
当サイトの場合は、404エラーを返します。
最後に、 g222.tech/xmlrpc.php にアクセスしました。
XML-RPCもまた、WordPressの機能です。
かつて、スマホアプリからのアクセスなどに利用されていたような記憶があります。(今もそうかもしれません)
そういった機能を使っていない場合は、機能を切っておいた方が良いです。
当サイトの場合は、これも404エラーを返します。
ここまでで、すべて1秒以内にアクセスしています。
その後、1時間ほどして、同じIPアドレスから、上記とまったく同じ順番で、同じURLにアクセスがありました。
やはり、1秒以内でのアクセスでした。
おそらく、これらのアクセスはセットになっていて、多数のサイトに、ランダムにアクセスしているのだと思います。
ひとつでもセキュリティ設定の甘いサイトだと知られると、さらに次の段階の攻撃へ進むのだと思われます。
当サイトのような、零細サイトでさえ、定期的にこのような不審なアクセスはあります。
アクセス数の多いサイトを運営されている企業の場合、この比ではないと思います。
ウェブサイトご担当の方は、ぜひ、セキュリティ対策をしていただければと思います。
わたしなりに、WordPressで気をつけた方が良いなと思うところは、このページにまとめました。
Web担当の方は、もしよければ、ぜひ読んでください。
今回は、WordPressの有名な脆弱性に関するアクセスばかりでしたが、そのうち、わたしの知らない脆弱性も見ることになると思います。
できるだけ、いろいろなアクセス状況を知って、悪意あるアクセスへの対策についての知識もつけていければと思っています。