るうのたわごと。

[£]ロリポップで運営しているWordPressの乗っ取り対策?

 

ロリポップユーザーのるう(@Lugh_)です。
かなり多くのユーザーのWordpressサイトが乗っ取られた件を受けいくつか対策を行いました。
多分、アタックは受けてるでしょうから…。
…とはいえ、不完全だとは思っています。

ロリポップの設定で対応できるもの

ログインパスワードを変更する

ユーザーページにログインし、アカウント情報のログインパスワードとFTPのパスワードを変更。
lolipo

WAF設定の有効化

WEBツールのWAF設定を有効にする。
なんでデフォルト無効なんだろうと思ったけど…トラブル原因の一端になることもあるみたいなのかな?
「投稿できない」とか「404」よりはアタックを減らす方が先だろう、と。

ユーザーページにログインし、WEBツールのWAF設定から各ドメインの設定を有効にする。
lolipo1

WAF ウェブアプリケーションファイアウォール – ロリポップ!レンタルサーバー

http://lolipop.jp/waf/

phpMyAdminのログインIDを変更する。

ユーザーページにログインし、WEBツールのデータベースを選択する。

「phpMyAdmin」を開くをクリックする。
lolipo2

IDとPWを入力し、サーバを選択し「実行する」。
lolipo3

ログイン後、左側の「一般設定」の「パスワードを変更する」をクリックする。
lolipo4
パスワードを変更し、「実行する」。
注:ロリポップのデータベースのユーザー名横の「パスワード確認」は変わらないので忘れないようにすること。
lolipo5

WordPressの設定で対応できるもの

ログインID、パスワードを変更する。

デフォルトID=admin以外のもの、PWはできる限り英数交じりで長めにする。
変更するのは管理画面の「ユーザー」→「あなたのプロフィール」から。

ただし、とあるURLにアクセスするとユーザー名丸見えになるので、プラグインを使用して見えないようにする必要もあります。
admin から変更しても WordPress のユーザー名は丸見え!投稿者アーカイブの URL を守る方法 -Simple Living さま

ログイン画面に画像認証をつける

コメントスパムを減らすためにSI Captchaを導入していました。
副作用というか副効用でログイン画面にも画像認証が表示されています。
※ほとんどのアタックは機械的に行われますのである程度は……?

WP・テーマ・プラグインを最新の状態にしておく

使っていないテーマ、プラグインの削除

対極のことを書いているようですが、「脆弱性を減らす」という点で共通しています。
使っているものは最新に、使わないものは「停止」ではなく「削除」する。

DB、SQL等のバックアップをしっかりととる

仕事柄良く言うセリフの一つですが、あまり実行しない事柄の一つです(苦笑)
職場のことなら自分を含めて協力すれば何とかできますが、自分ひとりでやることなのでマメにとっています。
ツールもさまざまありますし、自分にあった手段でバックアップを取得しておくと万が一の時に役に立ちます。

パーミッションを変更する

wp-config.phpのパーミッションを「400」に変更しました」と通知がありましたが、果たしてこれだけで十分なのか…と言われると否なんでしょうね。
どこまで変更していいのかちょっと勉強してきます…。

雑感

今のところ、ありがたいことにと言うか運よくと言うかハッキングされずに済んでいます。
…明日は我が身かもしれませんが。

ちなみに…パーミッションは変更されて提供されていると思っていたのは私です。
「簡単に」と言うのであればFTPを使わなくても安全(…かも?)と思える環境での提供も必要だよね、と思うわけです。

さて、何にせよ何かが起きる前にコトを終わらせないと。
…ここまでまとめるためにした作業だけで疲れてるんだけど、も(^^;

「ココ、違うんじゃない?」「これもやった?」等ありましたらお声掛けください。
以上、るう(@Lugh_)でした。

その後のロリポップ 2013.08.30 22:27追記

原因と対応の路線が決まったみたいです。
対応強化で安全と考えられるようになるのか、やっぱり不安だと感じるか…しばらく様子見してみましょうかね。

 - ぶろぐ, めも

admax300-2

admax300-2

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA


  関連記事

no image
[£]Googleカレンダーの重複をOutlook2007を使って整理してみた

画像の準備をしはじめたらそれだけでお腹いっぱいになったるう(@Lugh_)です。 …

交換サービスの箱
[£]Xperia SX、復元中に迷うことなく入れたアプリ8選

復元作業に疲れてしまい、アプリ最低限の生活をしているるう(@Lugh_)です。 …

no image
[£]Androidユーザーに贈る?iOS端末のカーソル移動法

Xperia SXとiPad mini使いのるう(@Lugh_)です。 なぜか、 …

ロリポップユーザー画面1
[£]WordPressのログイン画面にエラー発生した時の対処方法(ロリポップ)

地道なPHPソース書き込みの毎日を過ごしているるう(@Lugh_)です。 昨夜は …

no image
[£]UP by Jawbone、表面割れで問い合わせてみた

最近、動いてない気がするるう (@Lugh_)です。 Jawboneの表面割れで …

no image
[£]Stinger2をカスタマイズする -「続きを見る」のスタイルを変更する-

カスタマイズで検索に来て下さる方もちらほら居てくださるのが励みになっているるう( …

no image
[£]京都グルメマップを作ってみた!…だけですよ?

迷子属性のるう(@Lugh_)です。 Twitterのお友達で「京都に行きたい! …

Xperia SX with Danbou
[£]WPTouch(フリー版)をAndroid4.1に対応させてみた

一つ進んだら一つ問題が起きてる気がするのはきっと気のせい…と思いたいるう(@Lu …

名刺2
[£] Stingerにテーマを変更してみた

WordPress、上書きインストールからの生還劇(ロリポップ!)を書いていた理 …

feedly-follow-logo-green_2x
[£]Feedlyの配信がうまくできてなかった件

SelfBANが多いなと感じているるう(@Lugh_)です。 最近、ここのFee …