Contents

  1. 警告
  2. DeepL

手順に問題がある。-- ToshinoriMaeno 2022-05-10 00:37:25

https://twitter.com/matsuu/status/1522751803242455043?s=20&t=mNM8-U85vFv-Mr4LdVZntg

Let's EncryptなどでSSL証明書取得を行うと
CT(Certificate Transparency)を監視している悪意ある第三者が即座にアクセスしてきて
初期インストール状態のWordPressにバックドアを仕掛ける手口が横行

WordPress sites getting hacked ‘within seconds’ of TLS certificates being issued Adam Bannister 06 May 2022 at 13:36 UTC

https://portswigger.net/daily-swig/wordpress-sites-getting-hacked-within-seconds-of-tls-certificates-being-issued

“WordPress sites getting hacked ‘within seconds…”
portswigger.net
WordPress sites getting hacked ‘within seconds’ of TLS certificates being issued
Attackers pounce before site owners can activate the installation wizard

1. 警告

“Getting a certificate from Let’s Encrypt may make it easier to detect a new installation,
but nobody should be putting WordPress installations on the public internet
until they are secured. 

If a hosting provider or any other entity is doing that,
please report it as a vulnerability in their deployment process.”

2. DeepL

「Let's Encryptから証明書を取得することで、新しいインストールを簡単に検出できるかもしれません。 しかし、安全が確保されるまでは、誰もWordPressのインストールを公衆インターネット上に公開してはなりません。

ホスティングプロバイダーやその他の事業者がそのようなことをしている場合、 その導入プロセスに脆弱性があるとして報告してください。


CategoryDns CategoryWatch CategoryTemplate

MoinQ: WordPress/backdoor (last edited 2022-05-10 00:43:10 by ToshinoriMaeno)