サイト改ざんに関する注意と対策

wordpress1
レンタルサーバーのロリポップからメールがきた
ロリポップ!をご利用のお客様へ、最近増加している
2つのサイト改ざんケースと対策についてご案内させていただきます。

改ざんにより、お客様のサーバー領域でフィッシングサイトの設置、
迷惑メールの大量配信や情報漏洩などが発生することがございます。

その場合は、やむを得ずサーバーのご利用に対して
制限をさせていただく場合がございます。

main-img01

えーーーやだな~怖いなぁ~
これって、あれだ、今結構言われている wordpressが、狙われているっていうのかなぁ~??

▼more

なにがイヤだって
自分のとこを介して、他の方にまで迷惑がかかるっていうのが
何にしてもイヤだ~それは避けたい・・絶対避けたい・・・

もちろん、blogが書けなくなる事態になるのもイヤだけど・・・
そのためにも、ちゃんと対応をしなくっちゃね。

えーっと、何すればいいのかな??

1.CMS ツールで管理画面へ不正にログインされるケース
<対処法>
・英数を組み合わせた8桁以上の複雑なもの
・辞書などに載っている言葉を使っていないもの
・ドメイン名から推測しにくいもの ・サイト毎に異なるもの

2.CMS ツールの脆弱性をつかれるケース
<対処法>
・WordPress をご利用の場合は、最新版へバージョンアップを行ってください

ふむふむ・・・上記内容の対策はすでにとってたけど・・他にも、何かあるかなぁ~??ってことで調べる。
色々情報も交錯してるっぽいけど・・・
とりあえず、よさそうかなぁ~と思うものを導入してみよーっと。

1・現在、wordpressの管理画面に入るパスワードは
何度でもアタック可能だから、何回か間違えたらある一定の時間無効になる、プラグインを導入(Simple Login Lockdown)

それから、管理画面にはいるのは、家のPCのみなので
IPアドレスで管理画面にはいれるのを限定しちゃう

Order Deny,Allow
Deny from all
Allow from ○○○.○○○.○○○.○○○

上記の○の部分に、自分のIPアドレスを入れる~

上記ファイルをhtaccess.txtで保存した後、FTPでこのファイルを wp-admin 直下に設置し
.htaccess という名に変換。
すでに同じファイルがあるときは、そこに追加

おっできた。他のIPアドレスからだと管理画面に入れなくなった。

2・えーっと、後は暗号化された状態で通信が行われるFTPSを利用するのがいいんだね。
早速FTPSが使えるFFFTPソフトにバージョンUP

3・.htaccess等のパーミッションの設定の確認。
「777」「666」など、だれでも書き込める設定になっていないかチェック
使っていないcgiとかもそのままサーバーに残しちゃってたりするからチェックしよーっと。

4・ .ftpaccessを使いFTP接続元を制限
これは前からやってたもんだけど、改めて設定を確認

後、それからそれから~
WAF(不正なアクセスブロック)設定は、前から独自ドメインにはやってたけど
管理画面では、上書きできなかったりCSSが変更できなかったりするから設定できてないんだなぁ~

詳しくは、ロリポップ対策ページから←最初っからこっちのほうが分かりやすいね(笑

あ~ぁ・・どうか、不正ログインにあいませんよーに。
楽しいwordpress生活が送れますよーに・・って・・・

神頼みじゃダメだね~~
これからも、できることはがんばろーっと(笑

サイト改ざんに関する注意と対策” に対して 2 件のコメントがあります

  1. Keiko より:

    うちにもこのメールが届きました。
    同じサーバーだものね。^^

    で、私は完全なる神頼み。(笑)
    まぁ、うサーバーのアドバイスしてくれてることは踏破しているけれど、
    都さんみたいに真剣に受け取っていなかったのが事実。

    いつも勉強になります、ありがとう。

    1. より:

      Keikoさん~またまたありがとーございます~

      >mail
      おぉ~一緒ですね(笑
      Keikoさんちは、チカッパですよね~

      最近、サイト改ざんの事を
      よく耳にしていたので、いやだなぁと思ってたんです。
      オープンソースは、便利な反面、リスクもあるんだなぁ~って
      思っていました。
      特にwordpressは、セキュリティ部分が甘いって言われているみたいだし・・

      でも、これを機会に、できる事はやっておきたいなぁ~って思って。。。
      だれでもない、自分のとこだから、自分で・・みたいな(笑

      Keikoさん、勉強だなんてとんでもないです~
      こちらこそ、いつもお世話になっています~

コメントを残す

メールアドレスが公開されることはありません。