最近、暇な時間ができると、できるだけこのサイトのアクセスログを見るようにしています。
せっかく、自分のサイトを運営できる機会なので、いろいろと知っておきたいからです。

昨日の深夜1時から2時にかけて、不審なアクセスログがありましたので、紹介します。

不審なアクセス者の手順

その不審者は、まず g222.tech/ にアクセスしてきました。（※ .tech は、以前のこのサイトの当時のドメインです）
トップページへのアクセスです。
最初のアクセスとしては、普通のものです。

次に、g222.tech/wp-includes/wlwmanifest.xml にアクセスしました。
WordPress の内部ファイルを見ようとしています。
当サイトは、 WordPress を利用していましたが、バックエンドだけで利用していますので、表側には出てきません。
404 エラーを返します。

次に、 g222.tech/?author=1 にアクセスし、さらに g222.tech/?author=2 にアクセスしました。
これらもまた、 WordPress 特有のもので、ログイン ID を調べようとしているようです。
当サイトの場合は、普通のトップページが表示されるだけです。

次に、 g222.tech/wp-json/wp/v2/users/ と、 g222.tech/wp-json/oembed/1.0/embed にアクセスしました。
これらは、WordPressのREST APIを悪用しようとするものです。

REST APIは、さまざまなサイトへ記事データを配信するときなどに使います。
便利な機能ですが、きちんとセキュリティ設定をしておかないと、脆弱性になります。
当サイトの場合は、404エラーを返します。

最後に、 g222.tech/xmlrpc.php にアクセスしました。
XML-RPCもまた、WordPressの機能です。

かつて、スマホアプリからのアクセスなどに利用されていたような記憶があります。（今もそうかもしれません）
そういった機能を使っていない場合は、機能を切っておいた方が良いです。
当サイトの場合は、これも404エラーを返します。

ここまでで、すべて1秒以内にアクセスしています。

その後、1時間ほどして、同じIPアドレスから、上記とまったく同じ順番で、同じURLにアクセスがありました。
やはり、1秒以内でのアクセスでした。

おそらく、これらのアクセスはセットになっていて、多数のサイトに、ランダムにアクセスしているのだと思います。
ひとつでもセキュリティ設定の甘いサイトだと知られると、さらに次の段階の攻撃へ進むのだと思われます。

感想

当サイトのような、零細サイトでさえ、定期的にこのような不審なアクセスはあります。
アクセス数の多いサイトを運営されている企業の場合、この比ではないと思います。

ウェブサイトご担当の方は、ぜひ、セキュリティ対策をしていただければと思います。

私なりに、 WordPress で気をつけた方が良いなと思うところは、 このページにまとめました。

Web 担当の方は、もしよければ、ぜひ読んでください。

今回は、かなり古い WordPress を標的としたと思われるアクセスばかりでしたが、そのうち、わたしの知らない脆弱性も見ることになると思います。

できるだけ、いろいろなアクセス状況を知って、悪意あるアクセスへの対策についての知識もつけていければと思っています。