ColaboのWebサイトはWordPress
ColaboのWebサイトのソースコードを確認したらWordPressが使用されていた。
WordPressが使用されているとwp-contentなどのディレクトリ名がソースコードに含まれるのだが、特に対策をしていなければ、URLのドメインのうしろに /wp-login.php を追加してアクセスするとログイン画面を表示できる。
https://colabo-official.net/wp-login.php
セキュリティを意識しているWebサイトの場合はこのURLから直接アクセスできないようにしているが、ColaboのWebサイトは誰でもログインページにアクセスできる。
ソースコードからWordPressのバージョンも簡単に判別できるようになっているので、制作者はWordPressのセキュリティに無頓着な人物のようだ。
しかも、ログインページは何度でもパスワードの入力が可能になっているので機械的にランダムの英数字を入力すれば突破できてしまう。
長いパスワードであれば解析に時間がかかるが、Colaboのようにセキュリティ対策をしていないWebサイトは8文字程度の短い英数字のパスワードを設定していることが多いので突破されやすい。
もう手遅れかも…😰
実はすでに第三者に不正ログインされてサーバー内の非公開にしたPDFファイルなどを盗まれていてもおかしくない。
WordPressで同様の状態にしているWebサイトは注意が必要です。
