アフィリエイトのファンブログ

WordPressサイトのログを見ていたら、1日だけ異常に多くのアクセスがあり、しかも、その日のアクセスの大半が1つのIPアドレスという事からちょっと詳しく調べてみました。

パッと見て目に付くのがwp-config.php関係のアクセスの多さです。一部を抽出すると次のような感じのログでした。

getfile.php?file=..%2F..%2F..%2F..%2F..%2F..%2Fwp-config.php
download.php?file=..%2F..%2F..%2F..%2Fwp-config.php
general.php?file=wp-config.php
admin-ajax.php?action=..%2Fwp-config.php
pdf.php?fn=.pdf&file=..%2F..%2F..%2F..%2Fwp-config.php
macdownload.php?albid=..%2F..%2F..%2Fwp-config.php
?mdocs-img-preview=wp-config.php
?wpv-image=wp-config.php
?mdocs-img-preview=..%2Fwp-config.php

通常は404エラーとなりますが、セキュリティーホールがあればwp-config.php経由でパスワードが漏れてしまう可能性もあるのかなと思います。

特に気になったのが

/wp-content/themes/******/inc/download.php?file=..%2F..%2F..%2F..%2Fwp-config.php
/wp-content/themes/******/lib/scripts/download.php?file=..%2F..%2F..%2F..%2F..%2Fwp-config.php

や

/wp-content/plugins/******/php/jsmol.php?resource%3D..%2F..%2F..%2F..%2Fwp-config.php
/wp-content/plugins/******/controller/download.php?filepath=..%2F..%2F..%2Fwp-config.php

といったテーマファイル・プラグインを想定したアクセスです。
使っていないテーマファイルやプラグインは消しておくのが無難と思います。

また、

wp-config.php.swp
wp-config.php.bak
wp-config.php.old
wp-config.php.save

という様なアクセスもありました。

SSHなどでサーバーに直接ログインしてエディタで編集している人は特に気を付けてください。
（バックアップはアクセス制限を忘れがちなので……）

wp-adminのファイルも十分な注意が必要です。

/wp-admin/tools.php
/wp-admin/admin.php
/wp-admin/admin-post.php

へのアクセスもありました。

これらのファイルはサイトの管理者（編集者）以外がアクセスできる必要はないのでアクセス制限を検討した方がよいかもしれません。

WordPressは世界中で使われているCMSだけあって、世界中から常に狙われる対象になっています。セキュリティには十分注意してWordPressのサイトを運営してください。