WordPressハックとその対策
公開日:
:
CMS
前回の記事で私用で借りているサーバー上にアップロードした覚えのないPHPファイルがあり、中身はどこから入手したのかSQL接続をテストするスクリプトが書かれていたことを公開した。
それに似たような経験を会社でもしていた。
会社ではVPSサーバーを外注しており、そこでファイルの改竄とDOS攻撃の標的になった。
キーワードは公開できないが、一般的にビックキーワードと呼ばれるキーワードで一位を取っているので、そうした標的になるのはある意味必然かもしれない。
で、サーバー会社の社長に問い合わせしたら、どうもWordpressを足掛かりにしていたようだ。
社長の回答はこういう事だった。
「以前にも似たようなケースがあり、OSのCMSは特に標的になる。Wordpressは特に攻撃対象にされやすく、WP側のセキュリティ向上と相手の技術向上でいたちごっこにはなってる。」
っていう事だった。なるほど確かにこの記事を載せているブログはWordpressでできているし、DOS攻撃を受けたサーバーもWordpressを搭載していた。
実は社長の回答には続きがある。
「DOS攻撃をしていた足掛かりとしてwp-loginへの頻繁なアクセスがあり、以前から別件でハックがあるとすると大抵wp-loginを足掛かりにしていた。そこにBasic認証を掛けると良い。」という事だった。
社長はwp-loginにはなるべくBasic認証を掛けるようにしているようで、大体ハックを受けるのはそれをしてないWordpressであるとの事。僕も早速会社とこのサイトにそれを行っておく。
Basic認証について知らない人はググってね。サーバーによって手法が違うから。
ただ、社長の助言にはさらに続きがある。
「大前提としてアップデートがあったらすぐする事ですよ。」
ああ、確かにそれは大事だ。
さくらサーバーには休日にでもクレームを入れようと思う。多分負けるけど。
関連記事
-
-
[第4回] G/Afをコンクリ5.7に改造する[Concrete5]
このホームページの根幹、ギャラリーページを作りこんでみよう。 なんのギャラリーなのかを明示してその
-
-
YosemiteにしたらMAMPが起動しなくなった
Yosemiteに先日アップグレードして暫くMAMPなんて動かすこともな
-
-
サーバーの最近怖い話
※この記事の結末と要点だけ知りたい人はこっちの記事を見てね。 最近公私ともに怖いことが起こりす
-
-
現行Concrete cmsのダッシュボードにデフォルトでは日本語化設定がないよっていう話
急速に時間が出来てきたので前回のお蔵入りから久しぶりにconcrete5。。もといConcrete
-
-
WordPressのサイトパスを変えたときの対処法
Wordpressのインストールをした時、例えばデフォルトのフォルダ名でアップロードしちゃったなんて
-
-
Concrete5の凡ミスとその対処
concrete5 テーマ変更で反映されない というキーワードで検索されたことがある様子。
-
-
[第1回] G/Afをコンクリ5.7に改造する[Concrete5]
前回の記事でリニューアルの必要性があることを説いたので今回からG/AFの改装をやっていきたい。 最
-
-
Concrete5で編集モードのときだけ記述しない。
いつだったかの記事でjQueryがConcrete5の動作を邪魔するからリリース時までコメントアウト
-
-
サイトをconcrete5.7系に作り変える
唐突だがサイトをリニューアルしたい。さくらでサーバーを借りてから2年目に突入しかけているところだが、
-
-
[第2回] G/Afをコンクリ5.7に改造する[Concrete5]
ってことで前回の記事から引き続き作業を続ける。 今回は前編と後編に分けてテーマの基本を作成する。
- PREV
- サーバーの最近怖い話
- NEXT
- Air BnB泊まった感想
