企業のコーポレートサイトにブログツールでお馴染みのWordPressを利用するケースって増えています。様々なテンプレートが用意されていますし、カスタマイズも簡単ですからね。
ただ世界中で使われているツールだからこそ狙われる可能性も大きいと言うことです。
株式を上場している一流な会社でも「あれ?見えちゃってますよ。」な話です。
とりあえず/adminしてみた
2016年1月から6月の半年間に株式を上場した企業の一覧です。
全部で44社ありました。
株式を上場するくらいですから当然各社共にホームページを持っています。
IR情報を公開する必要がありますからね。
そんな各社のホームページのURLのお尻に「/admin」を付けてアクセスしてみました。
例えば、先ほどの日本取引所グループのホームページであれば
URLは「http://www.jpx.co.jp」なんで「/admin」をくっつけて
「http://www.jpx.co.jp/admin」ですね。
実際にアクセスしてみると「ページがみつかりません」って表示されます。そもそもWordPressを使っていないのか、ちゃんとページを隠しているのかわかりませんが期待通り?のページ表示です。
ログイン画面が見えちゃった
「/admin」をくっつけてみた時に「あれ?WordPressのログイン画面がみえちゃった」という企業が8社ありました。
その他にもホームページのコンテンツ管理を行うツール(いわゆるCMS)のログイン画面が見えてしまった企業が3社ありました。
あと、どうでもいいですが(株)アトラエはヘテルムのレンタルサーバだったり、(株)農業総合研究所はお名前.comのレンタルサーバを使っていました。
WordPressログイン画面
WordPressのログインが見えちゃった新規株式上場企業
※HPのURLのお尻に「/admin」を付けてください
| 上場日 | 会社名 | コード | 市場区分 | HP |
|---|---|---|---|---|
| 2016/3/11 | (株)フィット | 1436 | マザーズ | http://www.fit-group.jp |
| 2016/3/14 | (株)LITALICO | 6187 | マザーズ | http://litalico.co.jp |
| 2016/3/16 | 昭栄薬品(株) | 3537 | JQスタンダード | http://www.shoei-yakuhin.co.jp |
| 2016/3/18 | (株)フェニックスバイオ | 6190 | マザーズ | http://phoenixbio.co.jp |
| 2016/3/31 | (株)PR TIMES | 3922 | マザーズ | http://prtimes.co.jp |
| 2016/6/15 | (株)ホープ | 6195 | マザーズ | http://www.zaigenkakuho.com |
| 2016/6/17 | (株)やまみ | 2820 | JQスタンダード | http://www.yamami.co.jp |
| 2016/6/22 | ジェイリース(株) | 7187 | マザーズ | https://www.j-lease.jp |
CMSログイン画面
どこのサービス化分からないけどCMSのログインが見えちゃった新規上場企業
※HPのURLのお尻に「/admin」を付けてください
| 上場日 | 会社名 | コード | 市場区分 | HP |
|---|---|---|---|---|
| 2016/3/24 | (株)ウイルプラスホールディングス | 3538 | JQスタンダード | http://www.willplus.co.jp |
| 2016/3/31 | (株)エボラブルアジア | 6191 | マザーズ | http://www.evolableasia.com |
| 2016/6/27 | (株)キャリア | 6198 | マザーズ | http://careergift.co.jp |
ログイン画面が見えたからナニ?
実際にログイン画面が見えたってログインできなければ何もできないわけです。
例えばこのブログのはてなだってログイン画面は見えます。見えなきゃログインできなくて困りますから。
このような一般コンシューマ向けのサイトに関してはID、パスワードの管理は個人に託され、特にパスワードは定期的に変更する必要があります。
またパスワードであれば英数文字だけではなく特殊文字、大文字小文字なんかを織り交ぜないとダメと言った規則があるサイトもありますね。
しかし、企業サイトはどうでしょうか?
もしログインのID、パスワードが見破られてしまいサイトが改ざんされ会社に不利益な情報がアップされたりしたら。
そもそもそんなゆるゆるなセキュリティポリシーの会社って信頼されるのか疑問ですよね。
おそらくハッカー達の手にかかればID、パスワードなんてあっという間に解読されてしまうでしょうね。
ボクがログインしようとしても無理でしょうけど。
最後に
ちょっとWordPressを知っている人であればログインのURLを変えることはたやすいと思います。
インストールしたままの状態だとWordPressのログインページは「wp-login.php」なのでこれを使えないようにするためのプラグインを開発してくれた方がいます。
あとはログインページにBasic認証かけるとかも有効でないでしょうか。
※HPのURLのお尻に「/admin」を付けてください
| 上場日 | 会社名 | コード | 市場区分 | HP |
|---|---|---|---|---|
| 2016/3/18 | ヒロセ通商(株) | 7185 | JQスタンダード | http://hirose-fx.co.jp |
一番良いのは定期的にパスワードを変えることだとは思いますけど。