サイト改ざんに関する注意と対策
レンタルサーバーのロリポップからメールがきた
ロリポップ!をご利用のお客様へ、最近増加している
2つのサイト改ざんケースと対策についてご案内させていただきます。
改ざんにより、お客様のサーバー領域でフィッシングサイトの設置、
迷惑メールの大量配信や情報漏洩などが発生することがございます。
その場合は、やむを得ずサーバーのご利用に対して 制限をさせていただく場合がございます。
えーーーやだな~怖いなぁ~
これって、あれだ、今結構言われている wordpressが、狙われているっていうのかなぁ~??
▼more
なにがイヤだって
自分のとこを介して、他の方にまで迷惑がかかるっていうのが
何にしてもイヤだ~それは避けたい・・絶対避けたい・・・
もちろん、blogが書けなくなる事態になるのもイヤだけど・・・
そのためにも、ちゃんと対応をしなくっちゃね。
えーっと、何すればいいのかな??
1.CMS ツールで管理画面へ不正にログインされるケース
<対処法>
・英数を組み合わせた8桁以上の複雑なもの
・辞書などに載っている言葉を使っていないもの
・ドメイン名から推測しにくいもの ・サイト毎に異なるもの
2.CMS ツールの脆弱性をつかれるケース
<対処法>
・WordPress をご利用の場合は、最新版へバージョンアップを行ってください
ふむふむ・・・上記内容の対策はすでにとってたけど・・他にも、何かあるかなぁ~??ってことで調べる。
色々情報も交錯してるっぽいけど・・・
とりあえず、よさそうかなぁ~と思うものを導入してみよーっと。
1・現在、wordpressの管理画面に入るパスワードは
何度でもアタック可能だから、何回か間違えたらある一定の時間無効になる、プラグインを導入(Simple Login Lockdown)
それから、管理画面にはいるのは、家のPCのみなので
IPアドレスで管理画面にはいれるのを限定しちゃう
Order Deny,Allow
Deny from all
Allow from ○○○.○○○.○○○.○○○
上記の○の部分に、自分のIPアドレスを入れる~
上記ファイルをhtaccess.txtで保存した後、FTPでこのファイルを wp-admin 直下に設置し
.htaccess という名に変換。
すでに同じファイルがあるときは、そこに追加
おっできた。他のIPアドレスからだと管理画面に入れなくなった。
2・えーっと、後は暗号化された状態で通信が行われるFTPSを利用するのがいいんだね。
早速FTPSが使えるFFFTPソフトにバージョンUP
3・.htaccess等のパーミッションの設定の確認。
「777」「666」など、だれでも書き込める設定になっていないかチェック
使っていないcgiとかもそのままサーバーに残しちゃってたりするからチェックしよーっと。
4・ .ftpaccessを使いFTP接続元を制限
これは前からやってたもんだけど、改めて設定を確認
後、それからそれから~
WAF(不正なアクセスブロック)設定は、前から独自ドメインにはやってたけど
管理画面では、上書きできなかったりCSSが変更できなかったりするから設定できてないんだなぁ~
詳しくは、ロリポップ対策ページから←最初っからこっちのほうが分かりやすいね(笑
あ~ぁ・・どうか、不正ログインにあいませんよーに。
楽しいwordpress生活が送れますよーに・・って・・・
神頼みじゃダメだね~~
これからも、できることはがんばろーっと(笑
うちにもこのメールが届きました。
同じサーバーだものね。^^
で、私は完全なる神頼み。(笑)
まぁ、うサーバーのアドバイスしてくれてることは踏破しているけれど、
都さんみたいに真剣に受け取っていなかったのが事実。
いつも勉強になります、ありがとう。
Keikoさん~またまたありがとーございます~
>mail
おぉ~一緒ですね(笑
Keikoさんちは、チカッパですよね~
最近、サイト改ざんの事を
よく耳にしていたので、いやだなぁと思ってたんです。
オープンソースは、便利な反面、リスクもあるんだなぁ~って
思っていました。
特にwordpressは、セキュリティ部分が甘いって言われているみたいだし・・
でも、これを機会に、できる事はやっておきたいなぁ~って思って。。。
だれでもない、自分のとこだから、自分で・・みたいな(笑
Keikoさん、勉強だなんてとんでもないです~
こちらこそ、いつもお世話になっています~