るうのたわごと。

[£]ロリポップで運営しているWordPressの乗っ取り対策?

 

ロリポップユーザーのるう(@Lugh_)です。
かなり多くのユーザーのWordpressサイトが乗っ取られた件を受けいくつか対策を行いました。
多分、アタックは受けてるでしょうから…。
…とはいえ、不完全だとは思っています。

ロリポップの設定で対応できるもの

ログインパスワードを変更する

ユーザーページにログインし、アカウント情報のログインパスワードとFTPのパスワードを変更。
lolipo

WAF設定の有効化

WEBツールのWAF設定を有効にする。
なんでデフォルト無効なんだろうと思ったけど…トラブル原因の一端になることもあるみたいなのかな?
「投稿できない」とか「404」よりはアタックを減らす方が先だろう、と。

ユーザーページにログインし、WEBツールのWAF設定から各ドメインの設定を有効にする。
lolipo1

WAF ウェブアプリケーションファイアウォール – ロリポップ!レンタルサーバー

http://lolipop.jp/waf/

phpMyAdminのログインIDを変更する。

ユーザーページにログインし、WEBツールのデータベースを選択する。

「phpMyAdmin」を開くをクリックする。
lolipo2

IDとPWを入力し、サーバを選択し「実行する」。
lolipo3

ログイン後、左側の「一般設定」の「パスワードを変更する」をクリックする。
lolipo4
パスワードを変更し、「実行する」。
注:ロリポップのデータベースのユーザー名横の「パスワード確認」は変わらないので忘れないようにすること。
lolipo5

WordPressの設定で対応できるもの

ログインID、パスワードを変更する。

デフォルトID=admin以外のもの、PWはできる限り英数交じりで長めにする。
変更するのは管理画面の「ユーザー」→「あなたのプロフィール」から。

ただし、とあるURLにアクセスするとユーザー名丸見えになるので、プラグインを使用して見えないようにする必要もあります。
admin から変更しても WordPress のユーザー名は丸見え!投稿者アーカイブの URL を守る方法 -Simple Living さま

ログイン画面に画像認証をつける

コメントスパムを減らすためにSI Captchaを導入していました。
副作用というか副効用でログイン画面にも画像認証が表示されています。
※ほとんどのアタックは機械的に行われますのである程度は……?

WP・テーマ・プラグインを最新の状態にしておく

使っていないテーマ、プラグインの削除

対極のことを書いているようですが、「脆弱性を減らす」という点で共通しています。
使っているものは最新に、使わないものは「停止」ではなく「削除」する。

DB、SQL等のバックアップをしっかりととる

仕事柄良く言うセリフの一つですが、あまり実行しない事柄の一つです(苦笑)
職場のことなら自分を含めて協力すれば何とかできますが、自分ひとりでやることなのでマメにとっています。
ツールもさまざまありますし、自分にあった手段でバックアップを取得しておくと万が一の時に役に立ちます。

パーミッションを変更する

wp-config.phpのパーミッションを「400」に変更しました」と通知がありましたが、果たしてこれだけで十分なのか…と言われると否なんでしょうね。
どこまで変更していいのかちょっと勉強してきます…。

雑感

今のところ、ありがたいことにと言うか運よくと言うかハッキングされずに済んでいます。
…明日は我が身かもしれませんが。

ちなみに…パーミッションは変更されて提供されていると思っていたのは私です。
「簡単に」と言うのであればFTPを使わなくても安全(…かも?)と思える環境での提供も必要だよね、と思うわけです。

さて、何にせよ何かが起きる前にコトを終わらせないと。
…ここまでまとめるためにした作業だけで疲れてるんだけど、も(^^;

「ココ、違うんじゃない?」「これもやった?」等ありましたらお声掛けください。
以上、るう(@Lugh_)でした。

その後のロリポップ 2013.08.30 22:27追記

原因と対応の路線が決まったみたいです。
対応強化で安全と考えられるようになるのか、やっぱり不安だと感じるか…しばらく様子見してみましょうかね。

 - ぶろぐ, めも

admax300-2

admax300-2

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA


  関連記事

no image
[£]Feedlyボタンをつけてみた

るう(@Lugh_)です。 最近使い出したFeedly用のボタンを設置してみるこ …

UP by JAWBONE
[£]UP by JAWBONEをリセットする

ちょっと運動不足気味なるう(@Lugh_)です。 今月18日からUP by JA …

wpid-rps20131112_201803.jpg
[£]ニベアでスキンケア再開しました

ニベアはチューブ派のるう (@Lugh_)です。 ニベアってなんかすごいと聞いて …

wpid-wp-1416407810016.jpeg
[£]だららんっと過ごせる気がしない!ミスドのスケジュールン2015を貰ってきたよ!

キイロイトリ派のるう(@Lugh_)です。 ミスタードーナツでポイントを集めても …

image
[£]BackWPupがDropboxに保存できなくなっている時の対処法

WordpressのバックアップをBackWPupを使ってDropboxに保存し …

wpid-rps20131207_191812.jpg
[£]長いケーブルをすっきりと!ケーブルリールラバーを試してみた

XPERIA、iPad mini、iPod nano、PC、3DS…電源タップが …

wp1
[£]Android端末でモブログ環境を整えてみたかった…

基本的に手元でできるものは手元でやりたいるう(@Lugh_)です。 以前は絵日記 …

no image
[£]ドメイン、更新しました。が…

デザインの神様降りてこないかなぁ…とぼやいているるう(@Lugh_)です。 ドメ …

やきど。
[£]改めまして、「るうのたわごと。」です。

改めまして、「るうのたわごと。」著者のるう(@Lugh_)です。 大まかなところ …

danbou
[£]”するぷろ”既存エントリーBANからの生還劇

Androidではモブログし難いよね、と思っているるう(@Lugh_)です。 う …