手順に問題がある。-- ToshinoriMaeno 2022-05-10 00:37:25
https://twitter.com/matsuu/status/1522751803242455043?s=20&t=mNM8-U85vFv-Mr4LdVZntg
Let's EncryptなどでSSL証明書取得を行うと CT(Certificate Transparency)を監視している悪意ある第三者が即座にアクセスしてきて 初期インストール状態のWordPressにバックドアを仕掛ける手口が横行
WordPress sites getting hacked ‘within seconds’ of TLS certificates being issued Adam Bannister 06 May 2022 at 13:36 UTC
“WordPress sites getting hacked ‘within seconds…” portswigger.net WordPress sites getting hacked ‘within seconds’ of TLS certificates being issued Attackers pounce before site owners can activate the installation wizard
1. 警告
“Getting a certificate from Let’s Encrypt may make it easier to detect a new installation, but nobody should be putting WordPress installations on the public internet until they are secured. If a hosting provider or any other entity is doing that, please report it as a vulnerability in their deployment process.”
2. DeepL
「Let's Encryptから証明書を取得することで、新しいインストールを簡単に検出できるかもしれません。 しかし、安全が確保されるまでは、誰もWordPressのインストールを公衆インターネット上に公開してはなりません。
ホスティングプロバイダーやその他の事業者がそのようなことをしている場合、 その導入プロセスに脆弱性があるとして報告してください。