ロリポップ!でWordPressを利用するためのセキュリティ強化対策
広告-Ad-
1記事しかなかった当ブログでアクセス拒否をくらい、改ざんされていた記事を書きました。
現在も猛威を振るっているようで、今回は特にロリポップ!やGMO 系が狙われたようです。
当ブログもロリポップ!に設置していますし、今回も改ざんされたのではと戦々恐々としましたが、前回対応したおかげで何もなかったようです。
ただ、Crazy Bone(狂骨)によるログイン履歴を見ると、相変わらずアタックしにきているのは事実で、念のため新しいアカウントを作成し、旧アカウントを削除しました。
これが現状打てる最大の方法かもしれません。
定期的にパスワードを変更することも重要です。
新ログインアカウントへの作成と旧アカウントの削除、Author 表示の変更については、
にまとめています。
ロリポップ!公式でも注意喚起されていますが、個人的に行ったことをまとめます。
- ログイン名は、URL やブログ名、それに関係する用語、Author 名やツイッターアカウントに関連する用語を避ける(ツイッターアカウントはサイドバーにウィジェットを設置している場合を想定。もし同じアカウントにしていると…)。
- パスワードはわかりやすいものは避け、長めにする。「&」「-」「#」「_」なども混ぜこむ。
- .htaccess を604に変更(644になっている可能性が高いです)
- wp-config.php を404に変更(444になっている可能性が高いです)
- ディレクトリやファイルのパーミッションをロリポップ!指定のものに設定する。
- WAF(ウェブアプリケーションファイアウォール)設定を有効化する。
- ロリポップ!ユーザー専用ページのログイン・FTP へのログインパスワードを変更する。
- プラグインSecure WordPress を導入し有効化する。
ロリポップ!では.htaccess によるwp-login.php へのアクセス制限を推奨していますが、.htaccess への改ざんが見られるため、まずはwp-config.php のパーミッション設定変更のほうが最重要と思います。そして、より強固な対策としてwp-login.php へのアクセス制限も行って安全性を高めたいところです(IPは変わることがあるのでその都度設定し直す必要があります)。
Secure WordPress などのセキュリティ強化のプラグインを導入するのも対策の1つです。
※2013/08/29追記
ロリポップ!公式より、wp-config.php のパーミッションを400に変更したとのこと。
昔話になりますが、ヘテムルを借りていた時期、NucleusCMS やbotPHP のプログラムが改ざんされ、手を打つことができなくなったことを思い出します。
そのときは「このファイルが改ざんされてますので対応してください。」とデスクからファイルが提示されました(思えば親切な対応でした)。
.htaccess やプラグイン等書き込みデータ以外のさまざまなファイルに、謎のサイトへアクセスさせるものや長文の謎プログラムが仕込まれていました。
入れ替えるにも書き換えることもできず、都合によりロリポップ!へ乗り換え(出戻っ)て一から始めることにして現在に至ります。
普段から用心に越したことがないですね。
どう防御しろと言われても、太刀打ちできないのが歯がゆいところですが。
広告