るうのたわごと。

[£]ロリポップで運営しているWordPressの乗っ取り対策?

 

ロリポップユーザーのるう(@Lugh_)です。
かなり多くのユーザーのWordpressサイトが乗っ取られた件を受けいくつか対策を行いました。
多分、アタックは受けてるでしょうから…。
…とはいえ、不完全だとは思っています。

ロリポップの設定で対応できるもの

ログインパスワードを変更する

ユーザーページにログインし、アカウント情報のログインパスワードとFTPのパスワードを変更。
lolipo

WAF設定の有効化

WEBツールのWAF設定を有効にする。
なんでデフォルト無効なんだろうと思ったけど…トラブル原因の一端になることもあるみたいなのかな?
「投稿できない」とか「404」よりはアタックを減らす方が先だろう、と。

ユーザーページにログインし、WEBツールのWAF設定から各ドメインの設定を有効にする。
lolipo1

WAF ウェブアプリケーションファイアウォール – ロリポップ!レンタルサーバー

http://lolipop.jp/waf/

phpMyAdminのログインIDを変更する。

ユーザーページにログインし、WEBツールのデータベースを選択する。

「phpMyAdmin」を開くをクリックする。
lolipo2

IDとPWを入力し、サーバを選択し「実行する」。
lolipo3

ログイン後、左側の「一般設定」の「パスワードを変更する」をクリックする。
lolipo4
パスワードを変更し、「実行する」。
注:ロリポップのデータベースのユーザー名横の「パスワード確認」は変わらないので忘れないようにすること。
lolipo5

WordPressの設定で対応できるもの

ログインID、パスワードを変更する。

デフォルトID=admin以外のもの、PWはできる限り英数交じりで長めにする。
変更するのは管理画面の「ユーザー」→「あなたのプロフィール」から。

ただし、とあるURLにアクセスするとユーザー名丸見えになるので、プラグインを使用して見えないようにする必要もあります。
admin から変更しても WordPress のユーザー名は丸見え!投稿者アーカイブの URL を守る方法 -Simple Living さま

ログイン画面に画像認証をつける

コメントスパムを減らすためにSI Captchaを導入していました。
副作用というか副効用でログイン画面にも画像認証が表示されています。
※ほとんどのアタックは機械的に行われますのである程度は……?

WP・テーマ・プラグインを最新の状態にしておく

使っていないテーマ、プラグインの削除

対極のことを書いているようですが、「脆弱性を減らす」という点で共通しています。
使っているものは最新に、使わないものは「停止」ではなく「削除」する。

DB、SQL等のバックアップをしっかりととる

仕事柄良く言うセリフの一つですが、あまり実行しない事柄の一つです(苦笑)
職場のことなら自分を含めて協力すれば何とかできますが、自分ひとりでやることなのでマメにとっています。
ツールもさまざまありますし、自分にあった手段でバックアップを取得しておくと万が一の時に役に立ちます。

パーミッションを変更する

wp-config.phpのパーミッションを「400」に変更しました」と通知がありましたが、果たしてこれだけで十分なのか…と言われると否なんでしょうね。
どこまで変更していいのかちょっと勉強してきます…。

雑感

今のところ、ありがたいことにと言うか運よくと言うかハッキングされずに済んでいます。
…明日は我が身かもしれませんが。

ちなみに…パーミッションは変更されて提供されていると思っていたのは私です。
「簡単に」と言うのであればFTPを使わなくても安全(…かも?)と思える環境での提供も必要だよね、と思うわけです。

さて、何にせよ何かが起きる前にコトを終わらせないと。
…ここまでまとめるためにした作業だけで疲れてるんだけど、も(^^;

「ココ、違うんじゃない?」「これもやった?」等ありましたらお声掛けください。
以上、るう(@Lugh_)でした。

その後のロリポップ 2013.08.30 22:27追記

原因と対応の路線が決まったみたいです。
対応強化で安全と考えられるようになるのか、やっぱり不安だと感じるか…しばらく様子見してみましょうかね。

 - ぶろぐ, めも

admax300-2

admax300-2

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA


  関連記事

no image
[£]Googleカレンダーの重複をOutlook2007を使って整理してみた

画像の準備をしはじめたらそれだけでお腹いっぱいになったるう(@Lugh_)です。 …

UP by JAWBONE
[£]UP by JAWBONEが返ってきた!

UP by JAWBONEといいXperia SXといい今年はバッテリー関連に悩 …

wpid-rps20131208_103047.jpg
[£]QUOカードの残高はあるのに使えない!なので、再発行してみた!

よく使うコンビニはLAWSONなるう(Lugh_)です。 頂き物のQUOカードが …

wpid-rps20131112_201803.jpg
[£]ニベアでスキンケア再開しました

ニベアはチューブ派のるう (@Lugh_)です。 ニベアってなんかすごいと聞いて …

title_stb
[£]メモに残した方がいいんだろうなぁ…と思いながら、改造中

久々にPCで書いているるう(@Lugh_)です。 作業はやっぱりiPadじゃ難し …

だららんペンギン
[£]WordPress、上書きインストールからの生還劇(ロリポップ!)

仕事柄「バックアップはしっかり取ってください」とよく言っているるう(@Lugh_ …

no image
[£]Feedlyボタンをつけてみた

るう(@Lugh_)です。 最近使い出したFeedly用のボタンを設置してみるこ …

名刺2
[£] Stingerにテーマを変更してみた

WordPress、上書きインストールからの生還劇(ロリポップ!)を書いていた理 …

アイスティの作り方。
[£]簡単、アイスティの作り方

コーヒーより紅茶派のるう(@Lugh_)です。 暑い季節になってきたので、職場で …

炭酸水出し紅茶
[£]好みの味にするのは難しい?簡単ティーソーダの作り方

職場で水出し紅茶を良く作っているるう(@Lugh_)です。 去年の夏、炭酸水には …