WordPressの中にサブフォルダはなるべく作らない


サーバーは素人なので、専門用語はわかりませんので、そのつもりで書きます


先に結論:WoredPressが入っているフォルダの中に、できればサブフォルダは作らない。やむを得ない場合は、相手が狙っている名前のサブフォルダは作らない。


■その結論に至るまでの経緯

2019/7/13 7:19 攻撃を受け、その時のログ


[Sat Jul 13 07:19:18.605249 2019][client 209.159.145.226:0] AH01797: client denied by server configuration: /home/byte/www/uranai/
[Sat Jul 13 07:19:18.759408 2019][client 209.159.145.226:0] AH01797: client denied by server configuration: /home/byte/www/uranai/wp-includes
[Sat Jul 13 07:19:18.912909 2019][client 209.159.145.226:0] AH01797: client denied by server configuration: /home/byte/www/uranai/xmlrpc.php
[Sat Jul 13 07:19:19.089665 2019][client 209.159.145.226:0] AH01797: client denied by server configuration: /home/byte/www/uranai/
[Sat Jul 13 07:19:19.243752 2019][client 209.159.145.226:0] AH01797: client denied by server configuration: /home/byte/www/uranai/blog
[Sat Jul 13 07:19:19.397078 2019][client 209.159.145.226:0] AH01797: client denied by server configuration: /home/byte/www/uranai/web
[Sat Jul 13 07:19:20.127650 2019][client 209.159.145.226:0] AH01797: client denied by server configuration: /home/byte/www/uranai/wordpress
[Sat Jul 13 07:19:20.281834 2019][client 209.159.145.226:0] AH01797: client denied by server configuration: /home/byte/www/uranai/website
[Sat Jul 13 07:19:20.435230 2019][client 209.159.145.226:0] AH01797: client denied by server configuration: /home/byte/www/uranai/wp
[Sat Jul 13 07:19:20.588971 2019][client 209.159.145.226:0] AH01797: client denied by server configuration: /home/byte/www/uranai/news
[Sat Jul 13 07:19:20.742869 2019][client 209.159.145.226:0] AH01797: client denied by server configuration: /home/byte/www/uranai/2015
[Sat Jul 13 07:19:20.896667 2019][client 209.159.145.226:0] AH01797: client denied by server configuration: /home/byte/www/uranai/2016
[Sat Jul 13 07:19:21.203388 2019][client 209.159.145.226:0] AH01797: client denied by server configuration: /home/byte/www/uranai/2017
[Sat Jul 13 07:19:21.357193 2019][client 209.159.145.226:0] AH01797: client denied by server configuration: /home/byte/www/uranai/2018
[Sat Jul 13 07:19:21.510425 2019][client 209.159.145.226:0] AH01797: client denied by server configuration: /home/byte/www/uranai/shop
[Sat Jul 13 07:19:21.664273 2019][client 209.159.145.226:0] AH01797: client denied by server configuration: /home/byte/www/uranai/wp1
[Sat Jul 13 07:19:21.817257 2019][client 209.159.145.226:0] AH01797: client denied by server configuration: /home/byte/www/uranai/test
[Sat Jul 13 07:19:21.974115 2019][client 209.159.145.226:0] AH01797: client denied by server configuration: /home/byte/www/uranai/media
[Sat Jul 13 07:19:22.127450 2019][client 209.159.145.226:0] AH01797: client denied by server configuration: /home/byte/www/uranai/wp2
[Sat Jul 13 07:19:22.281285 2019][client 209.159.145.226:0] AH01797: client denied by server configuration: /home/byte/www/uranai/site
[Sat Jul 13 07:19:22.434673 2019][client 209.159.145.226:0] AH01797: client denied by server configuration: /home/byte/www/uranai/cms
[Sat Jul 13 07:19:22.589375 2019][client 209.159.145.226:0] AH01797: client denied by server configuration: /home/byte/www/uranai/sito


●事前に対処していたこと

ログのIPアドレス

209.159.145.226

は、過去に同様のドメインから攻撃を受けたことがあったので、.htaccess ファイルに

deny from 209.159.144.0/20

を追加し、アクセスを拒否していました。

ちなみにそのドメインは

NetRange: 209.159.144.0 – 209.159.159.255
CIDR: 209.159.144.0/20 (マスク範囲)
NetName: INTERSERVER
Organization: Interserver, Inc (INTER-83)
RegDate: 2009-12-07
Updated: 2012-02-24
OrgName: Interserver, Inc
PostalCode: 07094
Country: US   → (アメリカ合衆国)

という情報を得て事前にブロックしていたので、被害を抑えることができました。

なお、発信元がアメリカだとしても、実際の居場所は特定できません。


●今回のログからわかったこと

攻撃者は、相手のサーバー(私)が「WordPress」を利用しているとわかったので、次のような攻撃をしてきたことがわかりました

/
/wp-includes
/xmlrpc.php
/
/blog
/web
/wordpress
/website
/wp
/news
/2015
/2016
/2017
/2018
/shop
/wp1
/test
/media
/wp2
/site
/cms
/sito

私のサーバー内に対し、「WordPressの下にあるだろうと思われるサブディレクトリ」を無作為に適当にアクセスし、見つかったら、その中のファイルを抜き取ろうと試みたと思われます。

なお、xmlrpc.php は過去に脆弱性が疑われた、WordPressの初期ファイルの一つです。

また「wp-includes」は初期フォルダなので通常は仕方がありませんが、それ以外のサブフォルダ(サブディレクトリ)は、「その名前で作られなければ危険性が減る」と考えられます。

 

言い換えると、WordPressをインストールしたフォルダの中に、「shop」「site」「test」「media」といった、ありきたりなサブフォルダを作成しない方が良い、ということが今回の攻撃ログからわかりました。

また業務上サブフォルダを作りたないのなら、個人情報や内部資料など「重要なファイルはWordPressのサブフォルダには置かない」方が良い、あるいはアクセス権を設定すべきと思います。

 

なお初期フォルダ「wp-includes」の名前を変更する方法がありますが、ネット上にありますのでここでは説明しませんし、自信のない方は変更しない方がよろしいと思います。大事なことは「WordPressのフォルダの中にはなるべくならサブフォルダを作らないこと」だと私は思います。


■調べた結果

「ディレクトリリスティングを使った攻撃」と判断しました。

関連記事

ディレクトリリスティングとは

・ディレクトリ非表示の意味をもう一度見つめ直す

https://www.atmarkit.co.jp/ait/articles/0708/22/news119.html