パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

サーバ証明書の発行を検知、初期状態のWordPressに侵入する手口が横行」記事へのコメント

  • by Anonymous Coward

    WordPressは初期インストール状態だと脆弱でインストール後に設定を変更する手順が必要ってこと?
    だとしたらそこを改善すべきような

    • Re: (スコア:5, 参考になる)

      ・WordPressを設定するためには、公開URLを確定する必要がある(virtualHostなどで複数のURLからアクセス可能な状況でも、設定と違うURLからアクセスすると怒られる。httpとhttpsも区別される)ので、httpsで公開するサイトを作るためには、WordPressを設定する前に、証明書の設定が必要

      ・WordPressの初期状態でアクセスすると「DB設定やパスワード登録などを行う初期設定画面」が出るので、その段階でアクセスできれば誰にでも好き勝手できる(推測ですが、攻撃者は、パスワード登録して利用開始→不正ファイルアップロード→設定クリアして初期状態に戻す、という対応をしてるんじゃな

      • by Anonymous Coward on 2022年05月19日 16時14分 (#4252029)

        一番手っ取り早いのはApache/nginxへの登録時に一緒にBASIC認証を入れるとかじゃないかな

        # WordPressユーザがそんなことできるのかは知らん

        親コメント
        • by Anonymous Coward on 2022年05月20日 1時31分 (#4252346)

          いや何らかのアクセス制限を行うとLet's EncryptのHTTP-01認証のアクセスも通らなくなるので、証明書を取れなくなってしまうというのっがミソ

          親コメント
          • by Anonymous Coward

            /.well-known/acme-challenge/ だけオープンしとけば通るのでは

        • by Anonymous Coward

          WordPressは何かと狙われやすいので割と初期から管理系があるwp-adminにはBASIC認証とIP制限かけて
          DBのID/Passとかが書かれているwp-config.phpは初期設定のディレクトリの親ディレクトリに入れるってのは、結構前からWordPressの入門系サイトにもよく書かれている内容ですので
          理解せずとも猿真似で出来るユーザーはいるかと・・・

          ※その程度を理解できないユーザーがサーバを公開することについては別な問題と言うことで

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...