るうのたわごと。

[£]ロリポップで運営しているWordPressの乗っ取り対策?

 

ロリポップユーザーのるう(@Lugh_)です。
かなり多くのユーザーのWordpressサイトが乗っ取られた件を受けいくつか対策を行いました。
多分、アタックは受けてるでしょうから…。
…とはいえ、不完全だとは思っています。

ロリポップの設定で対応できるもの

ログインパスワードを変更する

ユーザーページにログインし、アカウント情報のログインパスワードとFTPのパスワードを変更。
lolipo

WAF設定の有効化

WEBツールのWAF設定を有効にする。
なんでデフォルト無効なんだろうと思ったけど…トラブル原因の一端になることもあるみたいなのかな?
「投稿できない」とか「404」よりはアタックを減らす方が先だろう、と。

ユーザーページにログインし、WEBツールのWAF設定から各ドメインの設定を有効にする。
lolipo1

WAF ウェブアプリケーションファイアウォール – ロリポップ!レンタルサーバー

http://lolipop.jp/waf/

phpMyAdminのログインIDを変更する。

ユーザーページにログインし、WEBツールのデータベースを選択する。

「phpMyAdmin」を開くをクリックする。
lolipo2

IDとPWを入力し、サーバを選択し「実行する」。
lolipo3

ログイン後、左側の「一般設定」の「パスワードを変更する」をクリックする。
lolipo4
パスワードを変更し、「実行する」。
注:ロリポップのデータベースのユーザー名横の「パスワード確認」は変わらないので忘れないようにすること。
lolipo5

WordPressの設定で対応できるもの

ログインID、パスワードを変更する。

デフォルトID=admin以外のもの、PWはできる限り英数交じりで長めにする。
変更するのは管理画面の「ユーザー」→「あなたのプロフィール」から。

ただし、とあるURLにアクセスするとユーザー名丸見えになるので、プラグインを使用して見えないようにする必要もあります。
admin から変更しても WordPress のユーザー名は丸見え!投稿者アーカイブの URL を守る方法 -Simple Living さま

ログイン画面に画像認証をつける

コメントスパムを減らすためにSI Captchaを導入していました。
副作用というか副効用でログイン画面にも画像認証が表示されています。
※ほとんどのアタックは機械的に行われますのである程度は……?

WP・テーマ・プラグインを最新の状態にしておく

使っていないテーマ、プラグインの削除

対極のことを書いているようですが、「脆弱性を減らす」という点で共通しています。
使っているものは最新に、使わないものは「停止」ではなく「削除」する。

DB、SQL等のバックアップをしっかりととる

仕事柄良く言うセリフの一つですが、あまり実行しない事柄の一つです(苦笑)
職場のことなら自分を含めて協力すれば何とかできますが、自分ひとりでやることなのでマメにとっています。
ツールもさまざまありますし、自分にあった手段でバックアップを取得しておくと万が一の時に役に立ちます。

パーミッションを変更する

wp-config.phpのパーミッションを「400」に変更しました」と通知がありましたが、果たしてこれだけで十分なのか…と言われると否なんでしょうね。
どこまで変更していいのかちょっと勉強してきます…。

雑感

今のところ、ありがたいことにと言うか運よくと言うかハッキングされずに済んでいます。
…明日は我が身かもしれませんが。

ちなみに…パーミッションは変更されて提供されていると思っていたのは私です。
「簡単に」と言うのであればFTPを使わなくても安全(…かも?)と思える環境での提供も必要だよね、と思うわけです。

さて、何にせよ何かが起きる前にコトを終わらせないと。
…ここまでまとめるためにした作業だけで疲れてるんだけど、も(^^;

「ココ、違うんじゃない?」「これもやった?」等ありましたらお声掛けください。
以上、るう(@Lugh_)でした。

その後のロリポップ 2013.08.30 22:27追記

原因と対応の路線が決まったみたいです。
対応強化で安全と考えられるようになるのか、やっぱり不安だと感じるか…しばらく様子見してみましょうかね。

 - ぶろぐ, めも

admax300-2

admax300-2

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA


  関連記事

wpid-rps20131109_212934_421.jpg
[£]UP by Jawbone、表面割れ交換してみた

Jawboneの表面が割れかけていたので問い合わせした結果、昨日交換機が届きまし …

no image
[£] ウェブマスターツールがエラー(hentry)まみれだったので修正してみた:その3

『ウェブマスターツールがエラー(hentry)まみれだったので修正してみた』の続 …

no image
[£]とりあえずPC版!SNSボタンの形をそれとなく揃えてみたよ!

やろうやろうと思っていたことをようやくやりました。 るう(@Lugh_)です。 …

wpid-wp-1416407810016.jpeg
[£]だららんっと過ごせる気がしない!ミスドのスケジュールン2015を貰ってきたよ!

キイロイトリ派のるう(@Lugh_)です。 ミスタードーナツでポイントを集めても …

wpid-rps20131112_201803.jpg
[£]ニベアでスキンケア再開しました

ニベアはチューブ派のるう (@Lugh_)です。 ニベアってなんかすごいと聞いて …

UP by JAWBONE
[£]UP by JAWBONEをリセット後

夜中にPHPをいじっていてちょっと寝不足気味なるう(@Lugh_)です。 昨夜、 …

unnamed
[£]頭痛の予測に、「頭痛~る」を導入してみた

春先が一番片頭痛を起こしていたところ、親知らずを抜歯したら偏頭痛頻度が上がったよ …

no image
[£]京都グルメマップを作ってみた!…だけですよ?

迷子属性のるう(@Lugh_)です。 Twitterのお友達で「京都に行きたい! …

no image
[£]Stinger2をカスタマイズする -サイドバー見出しのスタイルを変更する-

年長さんの姪っ子と全力で遊んでちょっと腰に来ているるう(@Lugh_)です。 … …

danbou
[£]”するぷろ”既存エントリーBANからの生還劇

Androidではモブログし難いよね、と思っているるう(@Lugh_)です。 う …