GoDaddy ヘルプ

このページをご利用いただけるよう、最善を尽くして翻訳しております。 英語のページもご用意しています。

一般的なWordPress攻撃

WordPressのブルートフォース攻撃でよく使用されるファイルは、xmlrpc.phpとwp-login.phpの2つです。この記事では、攻撃の証拠を見つける方法について詳しく説明します。

xmlrpc.phpへの攻撃

XML-RPCとは何ですか?

XML-RPC(xmlrpc.php)を使用すると、他のアプリケーションからWordPressをリモートで更新できます。現在のバージョンのWordPressではこれは不要になり、有効にしておくとサイトが脆弱になります。このファイルを使用してブルートフォース攻撃を見つけるのは一般的です。

攻撃されているかどうかはどのように確認できますか?

短時間で同じIPからの複数のアクセス試行が見つかる場合は、攻撃を示している可能性があります。

以下の例では、IP 12.34.56.789が一度にxmlrpc.phpページにアクセスしようとしました( 10 / Sep / 2022:05:12:02 )。

acoolexample.com-ssl_log:12.34.56.789--[10 / Sep / 2022:05:12:02 -0700] "POST //xmlrpc.php HTTP / 1.1" 200 438 "-" "Mozilla / 5.0(Windows NT 10.0 ; Win64; x64)AppleWebKit / 537.36(KHTML、like Gecko)Chrome / 80.0.3987.149 Safari / 537.36 "acoolexample.com-ssl_log:12.34.56.789--[10 / Sep / 2022:05:12:02 -0700]" POST //xmlrpc.php HTTP / 1.1 "200 438"-"" Mozilla / 5.0(Windows NT 10.0; Win64; x64)AppleWebKit / 537.36(KHTML、like Gecko)Chrome / 80.0.3987.149 Safari / 537.36 "acoolexample.com- ssl_log:12.34.56.789--[10 / Sep / 2022:05:12:02 -0700] "POST //xmlrpc.php HTTP / 1.1" 200 438 "-" "Mozilla / 5.0(Windows NT 10.0; Win64; x64 )AppleWebKit / 537.36(Keck、like Gecko)Chrome / 80.0.3987.149 Safari / 537.36 "acoolexample.com-ssl_log:12.34.56.789--[10 / Sep / 2022:05:12:02 -0700]" POST // xmlrpc .php HTTP / 1.1 "200 438"-"" Mozilla / 5.0(Windows NT 10.0; Win64; x64)AppleWebKit / 537.36(KHTML、like Gecko)Chrome / 80.0.3987.149 Safari / 537.36 "

wp-login.php(wp-admin)への攻撃

攻撃者は多くの場合、一度に何百もの接続を試行するボットを使用して、wp-adminパネルにアクセスします。

攻撃されているかどうかはどのように確認できますか?

短時間内に同じIPからの複数のアクセス試行が見られる場合は、攻撃を示している可能性があります。許可されたユーザーがパスワードを思い出せない場合は、通常、試行の間隔が数分です。

以下の例では、IP 12.34.56.789が一度に数回wp-login.phpページにアクセスしようとしました( 10 / Sep / 2022:08:39:15 ):

acoolexample.com-ssl_log:12.34.56.789--[10 / Sep / 2022:08:39:15 -0700] "POST /wp-login.php HTTP / 1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla / 5.0(Windows NT 6.3; Win64; x64)AppleWebKit / 537.36(KHTML、like Gecko)Chrome / 103.0.0.0 Safari / 537.36 "acoolexample.com-ssl_log:12.34.56.789--[10 / Sep / 2022: 08:39:15 -0700] "POST /wp-login.php HTTP / 1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla / 5.0(Windows NT 6.3; Win64; x64)AppleWebKit / 537.36(KHTML、like Gecko)Chrome / 103.0.0.0 Safari / 537.36 "acoolexample.com-ssl_log:12.34.56.789--[10 / Sep / 2022: 08:39:15 -0700] "POST /wp-login.php HTTP / 1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla / 5.0(Windows NT 6.3; Win64; x64)AppleWebKit / 537.36(KHTML、like Gecko)Chrome / 103.0.0.0 Safari / 537.36 "

次のステップ

  • whois検索を使用して、IPの所有権を確認します。中国からのIPで、中国からの顧客や訪問者がいない場合、それは悪意のあるものかもしれません。 IPが(たとえば)Cloudflareに属している場合、悪意のあるものである可能性は低いです。
  • 攻撃をブロックします。