先日、レンタルサーバー「ロリポップ」上でWordpressを動かしているサイトをターゲットに、ハッキングされサイトが改ざんされるという事がありました。被害件数は8438件(2013/8/30 現在)
WordPressのプラグインやテーマの脆弱性を利用し、不正なファイルがアップロードされ、そのファイルを利用してwp-config.phpの設定情報が抜き出されることにより、データベースの書き替えが行われ、WordPressサイトが改ざんされた。ということです。
大事なサイトを守るために、今一度セキュリティとバックアップをしっかりして万一に備えたいですね。
今すぐにでも出来る対策として、下記のようなことがあります。
2) プラグイン・テーマもアップデート
3) ログインID,PWを特定しにくいランダムな文字列に変更する▼
4) パーミッションの確認▼
5) セキュリティ対策プラグインのインストール▼
6) WordPressのバックアップ▼
===================================================
3) ログインID,PWを特定しにくいランダムな文字列に変更する
「ランダムな文字列って言っても…(´・ω・`)」
という方は以下のようなランダムな文字列を生成してくれるサイトを使ってみましょう。
●ランダムパスワード生成CGI
http://kz-soft.mine.nu/cgi-bin/randpass/randpass.cgi
●MyUsernameGenerator
http://myusernamegenerator.com/
ちょっとした手間を省けます。
※ブルートフォースアタック(総当たり攻撃)の対象になりやすい、ログイン名「admin」は使用しない。
===================================================
4) パーミッションの確認
パーミッションが以下の正しい値になっているか、確認しましょう。
●wp-config.php…400
●.htaccess…604
===================================================
5) セキュリティ対策プラグインのインストール
下記いずれのプラグインも、WordPressの公式リポジトリに登録されています。
●Simple Login Lockdow
…複数回ログインを試みるIPに対して、ログイン操作が出来ないようにする。
> インストール
> 使い方はこちらで詳しく説明して頂いています。
●Crazy Bone
…ログイン履歴を見ることが出来る。不正アクセスが無いかどうかの確認に。
> インストール
> 使い方はこちらで詳しく説明して頂いています。
●Secure WordPress
…ログイン時のエラーやバージョン情報などを隠し、不正アクセスを防ぎます。
> インストール
> 使い方はこちらで詳しく説明して頂いています。
===================================================
6) WordPressのバックアップ
●BackWPup
…データベース、ファイルシステムを全て定期かつ自動でバックアップできる。保存先もDropboxなどに設定出来る。
> インストール
> 使い方はこちらで詳しく説明して頂いています。
===================================================
まとめ
気休めにしかならないかもしれませんが、やっておいて損は無いと思います。
ご意見・ご感想は下記にコメント頂くか、
@moco2
までメッセージやツイート頂けると嬉しいです。