プロローグ
Cloudflareをなんとなく覗いていたら、Firewallイベントで下図のようなものが記録されていました。
Configのバックアップファイルを搾取するという手法でしょうか。
少し調べてみると、Configファイルのバックアップは少し注意しないと危ないとのことで備忘録がてら買いておきます。
Configファイルのバックアップ
今までConfigファイルのバックアップについては結構適当にやってました。
それこそ「.bak」とか「_original」とかつけて適当に置いていたんですが、実は適切な拡張子でないと搾取されてしまう恐れがあるとのことでした。
オリジナルのwp-config.phpはPHPファイルなのでURLを直接入力しても中身は見えませんが、「wp-config.php-bak」とすることでPHPファイルではなく、ただのテキストファイルになってしまい、ブラウザ画面に内容が表示されてしまうのです!
〜中略〜
拡張子が「php」のままであれば、ブラウザからアクセスしても中身を見ることはできません。
そのバックアップ、危険です!wp-config.phpの中身が丸見えに!
試しに置いてあったバックアップをブラウザで叩いてみると。。。ダウンロード画面になりました。
恐ろしや、他にもないか確認して「.php」に拡張しを変えたところ確かに平文で表示されることはありませんでした。(真っ白なページが表示されるだけ)
しかしながら別に同じ階層に配置しておく必要性もあまりないので、他の階層すべて確認しバックアップファイルは一応ローカルに保存してディレクトリから削除しました。
エピローグ
今回なんとなくFirewallイベントを除いていて気付いたんですが、やはり定期的にこういったログは見ておく必要があると感じました。
個人でも仕事でも同様ですね。ログレビュー大事、ゼッタイ。
記事は以上