0

6/23 WordPress Meet UP HANEDAでLTしました

6/23 Word Press Meet UP HANEDAでLTをしました。

誰でもできる!?3分間ハッキング

ハッキングというと、
企業とか国のすっごいサイトに対してやってる?
スーパーハカーとかがやってる?
自分たちには関係ないでしょ?
というイメージがありますが、
対策していないと本当に簡単な方法で情報が盗み出される可能性があるのです。
なお、これからご紹介する内容を他人のサイトに対して行うと、
「不正アクセス行為の禁止等に関する法律」
に該当する可能性があります。
試す際は、自分のサイトで試してください。
やり方は簡単
http://[自分のドメイン]/?author=1
と入れて、Enterを押すだけです
ユーザ一覧のページが表示されますが、URLの部分にログイン名が含まれます。
そのため、あとはパスワードさえ分かればアカウントが乗っ取られる可能性があります
対策するには「Edit Authoe Slug」の導入がおすすめです。
管理画面の「プラグイン」の新規追加から、導入してください。
プラグインを導入したのち、「設定」から「Edit Auther Slug」を選択し、
最下段の「投稿者スラッグを一括更新」にチェックを入れてください。
投稿者スラッグ構造を「hash」を選択し、変更を保存を選択してください。
キャッシュが残っているので、別ブラウザで
http://[自分のドメイン]/?author=1
を押してください。
URLがランダムな値になるので、アカウント名が推測されることがありません。
なお、「作者別」の右側に「ニックネーム」が表示されます。
デフォルトではアカウント名と同じ値になっているので、「ユーザー」から変更してください。

ハッキングというと、自分の身から遠いことのように思われますが、
このように簡単なやりかたでユーザアカウントを推測することができます。

「敵を知り、己を知れば百戦危うからず」
ハッカーの攻撃手法を知ることで、自分のサイトのセキュリティーを高めていきましょう!!

<<