REST API診断
WordPressのREST APIエンドポイントを分析し、 情報漏洩のリスクを特定。 適切なアクセス制御と設定方法を提示します。
REST APIは便利な反面、情報漏洩の入り口になりうる
WordPressのREST APIは強力な機能ですが、デフォルト設定のままでは ユーザー情報や投稿データが外部から取得可能な状態になっています。 適切なアクセス制御が必要です。
運用されているサイト
APIカテゴリ
表示時間
REST APIの
情報漏洩リスク
ユーザー列挙
/wp-json/wp/v2/usersにアクセスすると、ユーザー名やメールアドレスが取得可能な場合があります。
認証なしアクセス
多くのエンドポイントがログインなしでアクセス可能。外部から情報を収集される恐れがあります。
攻撃の偵察に利用
プラグイン情報やサイト構成が露出し、標的型攻撃の足がかりになります。
公開されているエンドポイントを即座に検出し、適切な対策を提案します。
6種類のAPIカテゴリを診断
各エンドポイントがどのような情報を公開し、なぜ対策が必要なのかを解説します
即座に対策が必要
/wp-json/wp/v2/users
ユーザー情報登録ユーザーのリストを取得可能。ユーザー名、メールアドレス、表示名が露出し、ブルートフォース攻撃の標的になります。
/wp-json/
APIインデックス利用可能なすべてのエンドポイント一覧を公開。インストールされたプラグインや機能が推測可能になります。
対策を強く推奨
/wp-json/wp/v2/posts
投稿データ下書きや非公開投稿が意図せず公開される場合があります。投稿者情報も含まれます。
/wp-json/wp/v2/comments
コメントコメント投稿者のメールアドレスやIPアドレスが露出するリスクがあります。
設定を推奨
/wp-json/wp/v2/media
アップロードされたメディアファイルの一覧とメタデータが取得可能。ファイルパスや投稿者情報が含まれる場合があります。
/wp-json/wp/v2/categories
カテゴリやタグの構成がわかり、サイトの構造を把握される可能性があります。SEO的な懸念もあります。
アクセス制限を推奨
/wp-json/wp/v2/plugins
インストールされたプラグインの情報。脆弱なバージョンの検出に悪用されます。
/wp-json/wp/v2/themes
使用中のテーマ情報。既知の脆弱性を持つテーマの特定に利用される可能性があります。