憂い23サイトがユーザー情報丸見え、27サイトがログイン画面放置WordPress
2つの区・人口合計が約37万人地域の、歯医者さんのホームページを調査してみました。
106ホームページの内、実に43がWordPressで制作されている
そして、WordPressのログイン画面を、
まずいことに公開してしまっているサイトが27もあり、
さらにその中の20サイトが、ユーザー情報が丸見えの状態。
WordPressのログイン画面を隠してはいるが、
ユーザー情報が丸見えの状態のサイトが16サイトの中にも3サイトある。
ログイン画面放置も、ユーザー情報丸見えも、憂うべき状況です。
「パスワード」だけ突破できれば攻撃者はログインが可能なんです。
ログインできれば、
改ざん、なりすまし、乗っ取りは、思うがまま、できてしまいます。
ブルートフォースアタック(総当たり攻撃)で
パスワードを機械的に何度でも試せるわけですから、
常に攻撃の対象になってしまっているということになります。
調査対象の母数が少ないと思われるかも知れないですが、これが実情・事実です。(実に憂うべき状態です。)
これはホームページオーナーの所為(せい)ではないのだけれども!
WordPressサイトは少しの知識があれば、簡単に作れてしまう為、
セキュリティポリシーがない制作者が作ったホームページが増えてきたのかも知れません。
By 横浜の登録セキュリティプレゼンター
あなたのホームページで、以下の2つを試してみてください。
1. http://example.com/wp-login.php
2. http://example.com/wp-json/wp/v2/users
※. example.comはあなたのURLに置き換えてください。
目次
危険1:WordPressのログイン画面(Wp-login.php)が公開されている?
☝☝☝は、アメブロユーザーさんのWordPressページのwp-loginページです。
危険2:あなたのホームページのユーザーIDを抜き出すことが出来る?
調査したホームページのWordPressのバージョンの内訳は、
5.2.1(2019/05/22)が4サイト
5.1.1(2019/03/13)が3サイト、
5.0.3(2019/03/13)が1サイト
そして、
4.9.10(2019/03/13)が最も多く7サイト
やはりバージョン5.0(2018/12/10)の壁を乗り越えられていない。
以下、
4.8.9(2019/03/13)が3サイト
4.6 (2016/08/17)が1サイト・・・・・サポート切れ
4.4.18(2019/03/13)が1サイト
4.4.2(2016/02/03)が1サイト・・・・・サポート切れ
4.3 (2015/08/19)が1サイト・・・・・サポート切れ
4.1.1(2015/02/20)が1サイト・・・・・サポート切れ
3.3.2(2012/04/21)が1サイト・・・・・サポート切れ