WordPressの危険な罠!ユーザ名がバレてしまうバグ
wordpressを利用しているウェブサイトで、管理者のユーザ名が誰からでもわかってしまうハッキング方法があります
それはURLの後に「/?author=1」を追加する方法です
404エラーページが表示された場合は、最後のパラメータを2、3・・と増やして行ってみてください
ワードプレスをインストールしてから何も対策をしてないサイトだと、なんと
「/author/ユーザ名」と言う風にリダイレクトされ、ユーザ名がバレてしまいます!
ユーザ名というのはログイン時に使用する名前
つまりあとはパスワードだけわかってしまえば不正にログインできてしまう状態なのです
いまだにこんな大きな穴を放置しているwordpress
理解に苦しみます。。。
対策方法
.htaccessに以下の記述を追加
<IfModule mod_rewrite.c>
RewriteCond %{QUERY_STRING} ^author=([0-9]*)
RewriteRule .* http://hoge.com/? [L,R=302]
</IfModule>
*http://hoge.comは自分のサイドのドメインに変更してください
注意点としては、「#BEGIN WordPress」の前に記述すること
「#BEGIN WordPress」から「#END WordPress」の中に書いてしまうと、動的に内容が書き換えられてしまいます
adminも危険
たまにユーザ名がデフォルトのまま「admin」のままになってるサイトを見かけます
というか、普通によくあります
これも危険だから、必ずユーザ名は変更しましょう
ディスカッション
コメント一覧
まだ、コメントがありません
みんながLoadingしてる記事
新たにPostされた記事
: JS
Dropzone.jsで編集画面を作る(アップロード済みの画像を表示)
前回からの続きです Dropzone.jsを使って画像アップロードの編集画面を作 ...: Laravel
LaravelでDBテーブルをupdateした時に、同時に更新した値を取得する裏技[Laravel8]
通常Eloquentのsaveやupdateでは、実行時に更新した値の結果を返し ...: JS
忘れがちなJqueryのあれやこれ
Jqueryって何でこんなに忘れやすいのでしょうか 呪文にかかったくらい覚えられ ...: 資格
理系エンジニアの僕がTOEICで800点をとるためにした勉強
先日、TOEIC L&R テストで800点を超えました 今回は理系エンジ ...: Laravel
[Laravel8]npm run devが失敗する場合の解決法
Laravel8にJetstreamをインストールする際、npm run dev ...HashMap
Created by
はやぴ
Web/アプリ開発エンジニア
Sierにてお堅いB向けのソフトウェア開発を経て、現在はC向けのWebやアプリを中心に開発しています。
そのほか