43サイト中23がユーザ情報丸見え27がログイン画面放置・驚愕のWordPressサイト

WordPressのお作法:投稿方法セキュリティ・ブログ
WordPressのお作法:投稿方法:タイトル入力前に、カテゴリやアイキャッチ画像を選択する
リスキーなサイト
驚愕・リスキーなサイト
スポンサーリンク

危険1:あなたのホームページのユーザーIDを抜き出す

 WordPressバージョン4.7以降では上記の様に入力することで、ユーザー情報の抜き出しができます。

‘ http://example.com/wp-json/wp/v2/users
SSL化していても、
‘ https://example.com/wp-json/wp/v2/users

example.comはあなたのURLに置き換えてください。

 以下はウェブブラウザのFirefoxで実行したものです(chromeでは見にくいので)

サイト特定できる情報およびユーザーIDなどはマスキングしています。

ユーザー情報が丸見え。しかもadminが残っている

 上記の例は、ユーザーが3つですが、最初からあったadminがそのまま残されセキュリティ上問題です(セキュリティ的にはadminは削除し、adminと同等の権限を持つ別の名前のidでadmin権限であることが判りにくい命名でユーザーIDを追加します。)

admin権限のユーザー情報が丸見え

 上記の例は、ユーザーが2つですが、adminが削除されていますがセキュリティ上問題です(セ、admin権限とハッキリわかる名前のidでユーザーIDが追加されています。)

 上記の2例ともSSL化(https:暗号化通信)に対応していますが基本的な部分が出来ていないので本末転倒というか、折角のSSL化も意味を成しません。

 なにも対策されていない状態は上記のようにユーザー情報が丸見えになります。

(ユーザー情報を隠していても、対策があまいWordPressサイトなら、

 example.com/?author=1と(1、2、3、と順番に)アクセスすれば  ユーザー情報を解明することもできるのです

‘nameがユーザー名で、slugログインIDになります。

 実データですので、セキュリティ上マスキングしています。

slug(スラッグ、スラグ:コードネームみたいなもの。由来は新聞業界)

 この様な状態では、セキュリティ上まずい(問題である)ため、この機能を無効にする必要があります。

 この機能を無効にする適切なプラグインがあります。

http://example.com/wp-json/wp/v2/users を実行して、下の画像の様な表示であれば、

ユーザー一覧を表示する権限設定がなされているので、wp-jsonに、ついては安心できます。

wp-json設定

ユーザー一覧を表示する権限設定

(あなたのホームページの制作会社に問い合わせインストールしてもらってください。プラグインのアップデートなども必要となりますので、十分に気をつけて信頼のおけるホームページ制作会社に依頼してください。)

 ※.私のメインサイトはWordPressではないですが、同様にjson(JavaScript Object Notation: 様々なソフトウェアやプログラミング言語間におけるデータの受け渡しに使える仕組み。

  この様な観点からもセキュリティは大事です)

 もちろん権限のない人のアクセスですから、Errorで返しています。

 この辺りは、さすがconcrete5です。(セキュリティもバッチリ)

wp-json

ユーザー情報とログイン画面の放置状況

スポンサーリンク

表(調査したホームページの現状)

wp-json

43サイトの内wp-login未対応が27(63%) wp-sjon未対応も53%と驚くべき状況

wp-login放置の状態に驚きとともにホームページ制作業界の実情に情けなく思います。

調査したホームページのWordPressのバージョンの内訳は、

WordPress

 最新バージョンの5.2.2(2019/06/18時点の)

5.2.1(2019/05/22)が4サイト

5.1.1(2019/03/13)がサイト、

5.0.3(2019/03/13)が1サイト

そして、

4.9.10(2019/03/13)が最も多く7サイト


やはりバージョン5.0(2018/12/10以降) ➡ バージョン4.9の壁を乗り越えられていない。

以下、

4.8.9(2019/03/13)が3サイト

4.6(2016/08/17)が1サイト・・・・・・サポート切れ

4.4.18(2019/03/13)が1サイト

4.4.2(2016/02/03)が1サイト・・・・・サポート切れ

4.3(2015/08/19)が1サイト・・・・・・サポート切れ

4.1.1(2015/02/20)が1サイト・・・・・サポート切れ

3.3.2(2012/04/21)が1サイト・・・・・サポート切れ

 そして無意味なバージョン隠しが、16

 (内5Wp-login.php公開(野放し)し、さらにwp-json対策しが4、

   Wp-login.php非公開にしていてもwp-json対策2

関連記事:警告WordPressホームページがイケナイ理由

wp正しく作る為に必要なこと
wp運営していくために必要なこと

正しく作る為に必要なこと運営していくために必要なこと

関連記事:警告あなたのホームページ早急に2つの脆弱性対応が必要

コメント

タイトルとURLをコピーしました