[全サーバー] WordPress等のセキュリティ対策のお願い
| 投稿日 |
: 2013/08/29(Thu) 23:06 |
| 投稿者 |
: スタッフ◆OKSXpIjDx1k |
| 参照先 |
: |
お世話になっております。
WordPressでの改ざんに関するお問い合わせが増えておりますので、以下の通り、ご確認と、対策のご検討をお願い申し上げます。
1)ユーザー様で、下記の対策のお願いいたします。
・最新版にアップデートしていただく
・ユーザー名、パスワードを類推されにくい複雑な文字列に設定いただく(admin等を避ける)
・.htaccessにて、ベーシック認証、アクセス制限を行っていただく
・他のユーザー様からは参照出来ませんが、各ファイルのパーミッションが適切か再度点検いただく
2)サーバー側では、現在のところ、下記の対策を行っています。
・wp-login.php等、著名なCMSのログインスクリプトへ、短時間での異常な数の複数アクセスを行ったIPアドレスで、
かつ、日本国外と思われる逆引きホスト名を持つIPアドレスの場合、自動的に、アクセスを遮断します。
(誤検知と思われるアクセス不可の症状の場合は、サポートからお知らせください)
・万が一、管理権を奪われた場合、速やかに警告し、被害を防ぐ必要がある場合は同時に該当サイトを非表示にさせていただきます。
(申し訳ございませんがご理解ください)
以上、よろしくお願いいたします。
Re: [全サーバー] WordPress等のセキュリティ対策のお願い
| 投稿日 |
: 2013/09/01(Sun) 13:47 |
| 投稿者 |
: ああ |
| 参照先 |
: |
wp-login.phpはダミーでwp-config.phpが抜かれてたとの事なのですが
こちらのサーバーでは影響ないのでしょうか?
ロリポップさんでは対策を取られたようです
ttp://lolipop.jp/info/news/4149/
Re: [全サーバー] WordPress等のセキュリティ対策のお願い
| 投稿日 |
: 2013/09/02(Mon) 21:01 |
| 投稿者 |
: スタッフ◆OKSXpIjDx1k |
| 参照先 |
: |
お世話になっております。
WordPress等のCMS自体のセキュリティホールがあり、そこをつかれれば、そのユーザー様のプログラム実行権がすべて奪われますので、wp-config.phpも含め、すべて参照される危険性があります。
仮に乗っ取られたとして、その乗っ取られたユーザー様から、(パーミッションが644等でも)他のユーザー様内のデータは内部的に参照することは出来ない仕様となっています。
ただし、不適切であれば、外部・ウェブ経由で見られたりしますので、適切な設定が必要です。また、/tmp等の共有ディレクトリに設置したファイルは誰でも閲覧が可能です。
なお、すでに乗っ取られてしまった、不正な動きがあるアカウントなどを割り出し、警告とパーミッションを適切な値に修正する等の対策を進めております。
Re: [全サーバー] WordPress等のセキュリティ対策のお願い
| 投稿日 |
: 2013/09/04(Wed) 14:54 |
| 投稿者 |
: おれ |
| 参照先 |
: |
wp-config.php のパーミッションは400奨励
グループのアクセス権は、レンタルサーバーでは0にしといたほうがいいよ
なお、wp-config.php は一つ上の階層でも動作するので、公開フォルダの一つ上においておくことをおすすめするよ
Re: [全サーバー] WordPress等のセキュリティ対策のお願い
| 投稿日 |
: 2013/09/04(Wed) 20:46 |
| 投稿者 |
: スタッフ◆OKSXpIjDx1k |
| 参照先 |
: |
お世話になっております。
ありがとうございます。
本件に関しては、弊社サーバーでは他からは参照はできませんが、一般的に、不適切なパーミッションで運用いただくと、意図しないリスクが生じますので、各ユーザー様にて、あらためてご確認いただければ幸いです。