質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

WordPress

WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

Q&A

解決済

2回答

405閲覧

WordPressでwp-adminディレクトリにIP制限をかける意味はあるのか

motisen

総合スコア92

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

WordPress

WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

0グッド

3クリップ

投稿2018/04/17 13:31

編集2018/04/17 13:36

お世話になります。

WordPressでwp-adminディレクトリにIP制限をかける意味はあるのかと、疑問に思っております。

最近WordPressを使いだし、色々セキュリティ関連の記事をネットであさりました。
その中には「wp-adminディレクトリにIP制限・Basic認証をつけよ」という記事がありました。
ただ、理由がどれも不明瞭です。「管理画面だから」は制限をつける理由にならないと思います。
wp-login.phpに制限をつければ、wp-adminに制限をつけるのは無駄足です。
色々心配なので、とりあえずやっておく。というのならば気持ちはわかるのですが・・・。

wp-adminディレクトリに制限を付けなければいけない理由があれば教えてください。
(気持ち的につける。というのは理解しております。)

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

ベストアンサー

セッションIDとなるCookieが漏えいした場合、wp-login.phpを経由しないでwp-adminディレクトリのコンテンツにアクセスが可能です。
決まったパターンがあるわけではないですが、ページのリソースからアクセス制御がかかるのと、ディレクトリへのアクセスで制御がかかるのでは攻撃者の取得できる情報が変わってくるかと。
例えば、wp-admin/001.htmlが存在するとして、アクセスの際に403応答の場合と404応答が返却された場合との差異でとりあえずページが存在することがわかるのはあまりよろしくないのかと。(wordpressなら汎用エラーになると思いますが。)

投稿2018/04/17 13:40

wp-h

総合スコア135

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

motisen

2018/04/17 13:43

たしかにセッションハイジャックがありますね。。。気づいておりませんでした! 素早いご回答ありがとうございます。
guest

0

Cookieが漏洩するというのもなくはないですが、Cookieが盗聴するためにはクロスサイト・スクリプティングのような脆弱性があるか、通信経路上に攻撃者がいるかなので、これらのケースだとIPアドレス制限は必ずしも有効ではないですね。なぜかというと、

  1. クロスサイト・スクリプティング攻撃は被害者(WordPressの管理者)のブラウザ上でJavaScriptが動くのでIPアドレス制限は突破される
  2. 一般的にはIPアドレスの偽装はできないが、通信経路上に攻撃者がいる場合は、IPアドレスの偽装が可能なのでIPアドレス制限は突破可能

むしろ、以下を考慮してBASIC認証やIPアドレス制限を掛けるのではないでしょうか?

  • WordPressのパスワードが見破られて不正ログインされた場合の保険的な対策(ご指摘のように、wp-login.phpに制限をつけることでも対策可能)
  • WordPress自体に脆弱性があるが攻撃のためにはwp-adminディレクトリにアクセスする必要がある場合に保険的な対策になる(こちらはwp-login.phpの制限では対策にならない)

投稿2018/04/17 21:39

ockeghem

総合スコア11701

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問