このエントリーを書くべきか少し悩みましたが、初歩的なセキュリティ対策がおろそかになっているWebサイトがあまりにも多いので注意喚起の為にあえて公開します。

Webサイトのセキュリティ対策はおなじみのファイアウォールやアクセス制限などに加えて、運用管理者機能にも適切な制限を掛ける必要があります。しかし現状では簡単に推測できる管理者用URLが一般公開されているサイトを簡単に見つけることでき、一般的なフレームワークや独自の管理者ログイン画面が認証なしに出てきてしまうサイトが沢山あります。そのようなWebサイトはログインID&パスワードも不用心なものが使用されている可能性が高く、ハッカーの格好の餌食になってしまいます。

以下に経験的に狙われやすいURLをリストアップしてみましたので参考にしてください。そもそもこのようなURLを使用しないか最低限IPアドレス制限を掛けることをお勧めします。

/admin/
/admin/wp-login.php
/wp/wp-login.php
/wp-admin/
/wp-login.php
/wordpress/
/wordpress/wp-login.php
/cms/
/cms/wp-login.php
/admin.html
/admin.php
/mt/
/ec-cube/
/eccube/
/kanri/
/phpMyAdmin/
http://admin.ドメイン名/
http://IPアドレス:8443/
http://IPアドレス:10000/
http://IPアドレス/

ちなみに以下のような名前のファイルがアップされていると外部から叩かれる可能性がありますので、見られて困るファイルはサーバに放置しないのが鉄則です。

/test.php
/test/
/phpinfo.php
/index2.php
/index.php.bak
/_index.html
/index.html.bak