WordPressの危険な罠!ユーザ名がバレてしまうバグ

2020年6月8日Wordpress

wordpressを利用しているウェブサイトで、管理者のユーザ名が誰からでもわかってしまうハッキング方法があります

それはURLの後に「/?author=1」を追加する方法です

404エラーページが表示された場合は、最後のパラメータを2、3・・と増やして行ってみてください

ワードプレスをインストールしてから何も対策をしてないサイトだと、なんと

「/author/ユーザ名」と言う風にリダイレクトされ、ユーザ名がバレてしまいます!

ユーザ名というのはログイン時に使用する名前

つまりあとはパスワードだけわかってしまえば不正にログインできてしまう状態なのです

いまだにこんな大きな穴を放置しているwordpress

理解に苦しみます。。。

対策方法

.htaccessに以下の記述を追加

<IfModule mod_rewrite.c>
  RewriteCond %{QUERY_STRING} ^author=([0-9]*)
  RewriteRule .* http://hoge.com/? [L,R=302]
</IfModule>  

*http://hoge.comは自分のサイドのドメインに変更してください

注意点としては、「#BEGIN WordPress」の前に記述すること

「#BEGIN WordPress」から「#END WordPress」の中に書いてしまうと、動的に内容が書き換えられてしまいます

adminも危険

たまにユーザ名がデフォルトのまま「admin」のままになってるサイトを見かけます

というか、普通によくあります

これも危険だから、必ずユーザ名は変更しましょう

エンジニアの年収を上げる方法

フリーランスエンジニアで年収を大幅アップしませんか?
実際に僕は会社員からフリーランスエンジニアになって年収が87万円アップしました

今なら相談(ヒアリング)するだけで3,000円分のamazonギフト券がもらえます!
初めての案件契約で最大10万円分の準備金がもらえます
非公開の高単価案件(100万円超え)が多数あります

詳しくはこちら