WordPressでの対応
自分の環境では表題のものが見える状態だったのでAIに聞いた対処方を備忘録として残します。
⚠️ どんな情報が漏れるか
composer.json
- 使用しているライブラリとバージョン範囲
- プロジェクト構成の情報
composer.lock
- インストール済みライブラリの正確なバージョン
- 依存関係の詳細なハッシュ情報
攻撃者はこの情報をもとに、既知の脆弱性を持つバージョンを特定して標的にすることができます。
🔧 対処法(いまいち)
Nginxの場合
|
1 2 3 4 |
location ~* /(composer\.(json|lock))$ { deny all; return 404; } |
Apacheの場合(.htaccessに追記)
|
1 2 3 4 5 6 7 8 9 |
<FilesMatch "^(composer\.(json|lock)|\.env)$"> Require all denied </FilesMatch> // または <FilesMatch "^(composer\.(json|lock)|\.env|artisan)$"> Require all denied </FilesMatch> |
追記する場所は、既存の # BEGIN WordPress より上が安全です:
対処法(404)
上記は403が返っていてそれをスキャン系BOTに見つかるとそれ系をしつこくスキャンしにくるので404を返す下記が有効です。
|
1 2 |
RewriteEngine On RewriteRule ^(composer\.(json|lock)|\.env)$ - [R=404,L] |
✅ 動作確認
保存後、ブラウザで以下にアクセスして 403 Forbidden になればOKです:
|
1 2 3 |
https://あなたのドメイン/composer.json https://あなたのドメイン/composer.lock https://あなたのドメイン/.env |
コメント