WordPressの脆いところ wp-admin
WordPressを使っていてセキュリティ的に特に怖いところが2つ
一つはwp-config.php
ここには生のデータベースアクセス情報が入ってる
でもまぁ、これはウェブアプリの宿命だよね・・・
対策としては、WordPress用のデータベースは他のデータベースと切り分ける事
アクセス権限も最低なものにするとか
で、もう1つがwp-adminなんだが
このサイトWordPressで出来てるんじゃないか?って思ったサイトにwp-adminって追加してみよう
例えばWordPress本家にあるショーケースとか(リンクは張りませんw こんなのにリファラー残されるの嫌だしw)
http://www.kobe-du.ac.jp/wp-admin
http://lab.3fl.jp/wp-login.php
http://dev.mozilla.jp/wp-admin(Mozillaよ、お前もか・・・、しかもOpenIDプラグイン入ってるんだw)
http://www.saitama-arena.co.jp/wp-admin
他にも・・・カラオケで有名なビックエコーのHP
http://big-echo.jp/wp-admin
WordPressで作られている、有名Webサイト11選
より
http://wired.jp/wp-admin(トップへ転送、これは優秀だと思う)
http://getnews.jp/wp-admin(ガジェット通信w)
そして、そのサイト自体・・・
http://www.aokiu.com/wp-admin
ここでは敢えてリンクまでは触れないけど、MixiのWordPressコミュにある
WordPressで作った私のサイト見て下さい!なトピ等
掘れば掘る程出てくるね
その中でより危険そうなところが、先に出したMozilla
http://dev.mozilla.jp/wp-admin
ここは、ログイン画面でOpenIDプラグインが導入されている事がわかってしまう
もしこれにセキュリティ上の欠陥が見つかってしまったらとなるとかなり怖い
しかもOpenIDは更新が1年半以上前なんだが、メンテとか大丈夫なんかね?
で、同じ事を思って書いてた人が本家フォーラムにいた
セキリュティについての質問
http://ja.forums.wordpress.org/topic/8056
精神的にもいいもんじゃないよね・・・と
ログイン画面が見られるんだから、後はそこにブルートフォースでもかけたら・・・とか
対策としてwp-adminのディレクトリ名を変えるとかアクセス制限をかけるとか
パスワードに英数字ではなく日本語を指定するとか
日本語として、ひらがな、カタカナ、漢字を組み合わせるとその通りは天文学的なものになるから、かなり強固になると思う
ディレクトリ名は変えにくいから、そしたらせめてアクセス制限
ただIP指定ですると、外出先からログイン出来ない可能性が出てくる(iPhoneアプリとかで何とかなるんならいいけど)
これではブログとしての利便性が減ってしまうので
当方ではとりあえずDigest認証をかけた
理想としてはディレクトリ名そのものを変えたいところ
簡単な方法はないかな?
