アカウント名:
パスワード:
最近apache入れてLet's encryptでssl設定。その後wordpressをインストールしました。
この記事を見てlogを確かめてみました。わずか数日の間ですが、30ぐらいのip addressから /XXX/wp-includes/wlwmanifest.xml への謎の大量アクセスが確認できました(XXXはblog web wordpress wp 2020 2019 …など)同じIPから数時間ずらしてアクセスを試みているようで、手ぐすねを引いてwpのインストールを待ってる感じです。
ただ、この攻撃の内1件はLet's encrypt以前に行われておりまして、Let's encrypt入れないから大丈夫というわけではないかもしれません。
aptのログでapacheとcertbot(Let's encryptで使う)のインストール時間が確認できるのですが、apacheを入れて1時間後にはトップディレクトリに所属不明のIPからのアクセスがあり、その数分後にwpを狙った攻撃が確認できました。これはcertbotを入れる前です。
ちなみに私自身のwpは、SSL化後、トップディレクトリをbasic認証。wpのファイルを展開後、ブラウザアクセスしてインストール完了。ただのまぐれなのですが、安全にインストールできたと思います。basic認証を設定したのは、単に完成前のブログを他人に見られるのが嫌だったからなのですが…
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
Let's encryptとは関係なくwordpressは狙われてる? (スコア:1)
最近apache入れてLet's encryptでssl設定。その後wordpressをインストールしました。
この記事を見てlogを確かめてみました。わずか数日の間ですが、30ぐらいのip addressから /XXX/wp-includes/wlwmanifest.xml への謎の大量アクセスが確認できました(XXXはblog web wordpress wp 2020 2019 …など)同じIPから数時間ずらしてアクセスを試みているようで、手ぐすねを引いてwpのインストールを待ってる感じです。
ただ、この攻撃の内1件はLet's encrypt以前に行われておりまして、Let's encrypt入れないから大丈夫というわけではないかもしれません。
aptのログでapacheとcertbot(Let's encryptで使う)のインストール時間が確認できるのですが、apacheを入れて1時間後にはトップディレクトリに所属不明のIPからのアクセスがあり、その数分後にwpを狙った攻撃が確認できました。これはcertbotを入れる前です。
ちなみに私自身のwpは、SSL化後、トップディレクトリをbasic認証。wpのファイルを展開後、ブラウザアクセスしてインストール完了。ただのまぐれなのですが、安全にインストールできたと思います。basic認証を設定したのは、単に完成前のブログを他人に見られるのが嫌だったからなのですが…