26万サイト分のWordPressをセキュリティ調査「デフォルトログイン画面・アカウント列挙編」

はじめに

　国内のWordPressで構築されている約26万サイトを対象に調査しました。
(※ 厳密には 260,135 サイト分)

　今回調査した内容は2つあります。

　調査前は特に以下の2点が気になっていました。

　WordPressの管理画面へアクセスするためのURLがデフォルト（/wp-login.php）になっているかを確認しています。

　管理画面がデフォルトのURLである場合は下画像のように「<WordPressインストール先>/wp-login.php」でログイン画面にアクセスできます。

　この状態だと誰でもがログイン画面にアクセスできることにより、不正なログイン試行が行われるといった可能性があります。

（※ログイン画面にアクセスできるが、認証のリクエストは拒否されるサイトも含まれます。）

　最初に全体の数を見てみます。

　調査対象である全260,135サイト中、204,695サイトがデフォルトのURLで管理者のログイン画面にアクセスすることができました。

　次にドメイン別で見てみます。検査数が20以上のものを取り上げています。
（黄色に塗りつぶされているドメインは属性JPドメインであり、取得するには特定に機関に必要なドメインです。）

　割合の差が最大は2倍ほどありますが、ドメインの特徴での差はあまり確認できませんでした。

　「go.jp」ドメインが一番対応されているドメインであることがわかりますが、それでも半数近くが対応していないのは意外でした。

　「<WordPressインストール先>/wp-json/wp/v2/users」にアクセスしてアカウント列挙ができるかを確認してみます。

　アカウント列挙の機能が有効になっていると下画像のように容易にアカウント情報（認証情報の一部）が取得できます。

　アカウントが列挙できるという状態は、調査①の初期ログイン画面へのアクセスが可能よりも深刻であり、Tenable社のスキャナーでは脆弱性として検出されるものになっています。

　調査対象である全260,135サイト中、134,373サイトがアカウントの列挙が可能になっていました。

　調査①よりも問題のあるサイトの割合が少なくなっていることを確認できます。

　次にドメイン別で見てみます。検査数が20以上のものを取り上げています。

　属性JPドメインのサイトの対応割合が多い点は興味深い結果となりました。

　最初に記載した予想の答え合わせをしていきます。

調査①と調査②の割合に差があるか
→ （予想）セキュリティプラグインを導入すると両方とも問題なくなる場合が多いので、割合の差は少なそう。 → （結果）『調査①は約4/3、調査②は約1/2』　　　　　アカウント列挙は不要な場合が多いが、ログイン画面に関しては管理者以外も利用するサイトがあるのでその差が出たのでしょうか。
トップドメイン別で割合に差があるか
→ （予想）政府が管理している「go.jp」や企業のみが取得できる「co.jp」は問題が少なそう。
→ （結果）『調査①の差は小さい、調査②の差は大きい』
　　　　　調査②の問題はより脆弱性として扱われることが多いことが原因なのでしょうか。