るうのたわごと。

[£]ロリポップで運営しているWordPressの乗っ取り対策?

 

ロリポップユーザーのるう(@Lugh_)です。
かなり多くのユーザーのWordpressサイトが乗っ取られた件を受けいくつか対策を行いました。
多分、アタックは受けてるでしょうから…。
…とはいえ、不完全だとは思っています。

ロリポップの設定で対応できるもの

ログインパスワードを変更する

ユーザーページにログインし、アカウント情報のログインパスワードとFTPのパスワードを変更。
lolipo

WAF設定の有効化

WEBツールのWAF設定を有効にする。
なんでデフォルト無効なんだろうと思ったけど…トラブル原因の一端になることもあるみたいなのかな?
「投稿できない」とか「404」よりはアタックを減らす方が先だろう、と。

ユーザーページにログインし、WEBツールのWAF設定から各ドメインの設定を有効にする。
lolipo1

WAF ウェブアプリケーションファイアウォール – ロリポップ!レンタルサーバー

http://lolipop.jp/waf/

phpMyAdminのログインIDを変更する。

ユーザーページにログインし、WEBツールのデータベースを選択する。

「phpMyAdmin」を開くをクリックする。
lolipo2

IDとPWを入力し、サーバを選択し「実行する」。
lolipo3

ログイン後、左側の「一般設定」の「パスワードを変更する」をクリックする。
lolipo4
パスワードを変更し、「実行する」。
注:ロリポップのデータベースのユーザー名横の「パスワード確認」は変わらないので忘れないようにすること。
lolipo5

WordPressの設定で対応できるもの

ログインID、パスワードを変更する。

デフォルトID=admin以外のもの、PWはできる限り英数交じりで長めにする。
変更するのは管理画面の「ユーザー」→「あなたのプロフィール」から。

ただし、とあるURLにアクセスするとユーザー名丸見えになるので、プラグインを使用して見えないようにする必要もあります。
admin から変更しても WordPress のユーザー名は丸見え!投稿者アーカイブの URL を守る方法 -Simple Living さま

ログイン画面に画像認証をつける

コメントスパムを減らすためにSI Captchaを導入していました。
副作用というか副効用でログイン画面にも画像認証が表示されています。
※ほとんどのアタックは機械的に行われますのである程度は……?

WP・テーマ・プラグインを最新の状態にしておく

使っていないテーマ、プラグインの削除

対極のことを書いているようですが、「脆弱性を減らす」という点で共通しています。
使っているものは最新に、使わないものは「停止」ではなく「削除」する。

DB、SQL等のバックアップをしっかりととる

仕事柄良く言うセリフの一つですが、あまり実行しない事柄の一つです(苦笑)
職場のことなら自分を含めて協力すれば何とかできますが、自分ひとりでやることなのでマメにとっています。
ツールもさまざまありますし、自分にあった手段でバックアップを取得しておくと万が一の時に役に立ちます。

パーミッションを変更する

wp-config.phpのパーミッションを「400」に変更しました」と通知がありましたが、果たしてこれだけで十分なのか…と言われると否なんでしょうね。
どこまで変更していいのかちょっと勉強してきます…。

雑感

今のところ、ありがたいことにと言うか運よくと言うかハッキングされずに済んでいます。
…明日は我が身かもしれませんが。

ちなみに…パーミッションは変更されて提供されていると思っていたのは私です。
「簡単に」と言うのであればFTPを使わなくても安全(…かも?)と思える環境での提供も必要だよね、と思うわけです。

さて、何にせよ何かが起きる前にコトを終わらせないと。
…ここまでまとめるためにした作業だけで疲れてるんだけど、も(^^;

「ココ、違うんじゃない?」「これもやった?」等ありましたらお声掛けください。
以上、るう(@Lugh_)でした。

その後のロリポップ 2013.08.30 22:27追記

原因と対応の路線が決まったみたいです。
対応強化で安全と考えられるようになるのか、やっぱり不安だと感じるか…しばらく様子見してみましょうかね。

 - ぶろぐ, めも

admax300-2

admax300-2

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA


  関連記事

猫置物。
[£]Google Adsenseの銀行支払い設定にまじめに手こずったのでメモしてみる

Google Adsense挑戦中のるう(@Lugh_)です。 先日、「Goog …

wpid-rps20131112_201803.jpg
[£]ニベアでスキンケア再開しました

ニベアはチューブ派のるう (@Lugh_)です。 ニベアってなんかすごいと聞いて …

no image
[£]Stinger2をカスタマイズする -「続きを見る」のスタイルを変更する-

カスタマイズで検索に来て下さる方もちらほら居てくださるのが励みになっているるう( …

title_stb
[£]メモに残した方がいいんだろうなぁ…と思いながら、改造中

久々にPCで書いているるう(@Lugh_)です。 作業はやっぱりiPadじゃ難し …

ジェットストリーム 3色ボールペン
[£]ジェットストリーム 3色ボールペン 0.5mmの替え芯をようやく買ってきたよ。

ジェットストリーム 3色ボールペン 0.5mm愛用中のるう(@Lugh_)です。 …

wpid-rps20131123_145254_874.jpg
[£]LAWSONポイントカードを再発行してみた

LOWSONをよく使うるう(@Lugh_)です。 ポイントを使おうとロッピーの機 …

no image
[£] ウェブマスターツールがエラー(hentry)まみれだったので修正してみた:その3

『ウェブマスターツールがエラー(hentry)まみれだったので修正してみた』の続 …

no image
[£]Stinger2をカスタマイズする -ヘッダタイトル画像にリンクをはる-

Stinger2を自分なりにカスタマイズしているるう(@Lugh_)です。 本来 …

no image
[£]UP by Jawbone、表面割れで問い合わせてみた

最近、動いてない気がするるう (@Lugh_)です。 Jawboneの表面割れで …

UP by JAWBONE
[£]UP by JAWBONEをリセットする

ちょっと運動不足気味なるう(@Lugh_)です。 今月18日からUP by JA …