ご覧のページは 5 / 6 です。先頭ページはこちら。
Step5. oEmbedから情報を取ろうとする。
0.249 - create 159.242.234.106 - - [17/Apr/2021:06:23:13 +0900] "GET //wp-json/oembed/1.0/embed?url=https://sample.com/ HTTP/1.1" 404 84 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4240.193 Safari/537.36" "-"oEmbedはREST APIの一種です。TwitterやFacebook, InstagramなどのSNSやYoutubeやHuluなどのメディアサービスを埋め込むのに使われます。
WordPress.org 日本語
ログではサイトのホームのURL(sample.com)で情報を取ろうとしてますが Not Found (404) を返しているので何も取られてません。
Wordfenceプラグインを停止して試してみましたが同じでした。
サイトのHTMLにも同じものが入っている。
このリクエストパス、HTMLの<head>にも挿入されています。
<link rel="alternate" type="application/json+oembed" href="https://(your site domain)/wp-json/oembed/1.0/embed?url=https%3A%2F%2F(your site domain)%2F(page slug)%2F" />
<link rel="alternate" type="text/xml+oembed" href="https://(your site domain)/wp-json/oembed/1.0/embed?url=https%3A%2F%2F(your site domain)%2F(page slug)%2F&format=xml" />これを削除する方法はありますが、WordPress.orgのサポートを見ると『無効にしないでください』の一言で一刀両断。
他サイトやサーバーがあなたのサイトにリクエストをする際に必要とし、また期待しています。
WordPress.orgサポート(筆者訳)
あなた自身のサイトを安全に保つもの
WordPress.orgサポート(筆者訳)
とも言っているので削除しないほうがいいでしょう。
WordPress.org Support
また、『404になるのはテーマやプラグインでエンドポイントが不足しているか互換性がないから元に戻しましょう。』
とも。404ではダメらしい。というか、このへんは全く触っていないのになぜ404になるのか?
ちょっと意味が分からない。(サンドウィッチマン風)
この記述は、編集画面でサービスの埋め込み作業をするのに使うので、絶対に使わないかぎりそのままにしておきましょう。
WordPress Developers
次は
Step6. xmlrpcからブルートフォースアタック。
前は
Step4. REST APIからユーザー情報を取ろうとする。
- P1 不正アクセスを試されたログ
- P2 Step2. ブログ編集ツールの設定情報へのアクセス
- P3 Step3. WordPressのログインユーザー名を取ろうとする。
- P4 Step4. REST APIからユーザー情報を取ろうとする。
- P5 Step5. oEmbedから情報を取ろうとする。
- P6 Step6. xmlrpcからブルートフォースアタック。
