WordPressハックとその対策
公開日:
:
最終更新日:2024/01/18
CMS
前回の記事で私用で借りているサーバー上にアップロードした覚えのないPHPファイルがあり、中身はどこから入手したのかSQL接続をテストするスクリプトが書かれていたことを公開した。
それに似たような経験を会社でもしていた。
会社ではVPSサーバーを外注しており、そこでファイルの改竄とDOS攻撃の標的になった。
キーワードは公開できないが、一般的にビックキーワードと呼ばれるキーワードで一位を取っているので、そうした標的になるのはある意味必然かもしれない。
で、サーバー会社の社長に問い合わせしたら、どうもWordpressを足掛かりにしていたようだ。
社長の回答はこういう事だった。
「以前にも似たようなケースがあり、OSのCMSは特に標的になる。Wordpressは特に攻撃対象にされやすく、WP側のセキュリティ向上と相手の技術向上でいたちごっこにはなってる。」
っていう事だった。なるほど確かにこの記事を載せているブログはWordpressでできているし、DOS攻撃を受けたサーバーもWordpressを搭載していた。
実は社長の回答には続きがある。
「DOS攻撃をしていた足掛かりとしてwp-loginへの頻繁なアクセスがあり、以前から別件でハックがあるとすると大抵wp-loginを足掛かりにしていた。そこにBasic認証を掛けると良い。」という事だった。
社長はwp-loginにはなるべくBasic認証を掛けるようにしているようで、大体ハックを受けるのはそれをしてないWordpressであるとの事。僕も早速会社とこのサイトにそれを行っておく。
Basic認証について知らない人はググってね。サーバーによって手法が違うから。
ただ、社長の助言にはさらに続きがある。
「大前提としてアップデートがあったらすぐする事ですよ。」
ああ、確かにそれは大事だ。
さくらサーバーには休日にでもクレームを入れようと思う。多分負けるけど。
関連記事
-
-
Designer Contentでブロックを作る
Concrete5の無料で用意されているアドオンの一種類である「Sortable Fancybox
-
-
サブドメインをとったのでサイトのディレクトリを移動した。
最近になってサクラサーバー上で独自ドメインに近いサブドメインを無料で取れる事に気がついてコレを取得し
-
-
concrete5の使用感
最近巷で有名なconcrete5で、このサイトもブログページ以外はconcrete5で作ってある。
-
-
concrete5 編集モードの時だけ表示しない 改定
以前編集モードの時にjqueryを読み込みたくなくて、編集モード限定でコメントアウトする方法を掲載し
-
-
[第1回] G/Afをコンクリ5.7に改造する[Concrete5]
前回の記事でリニューアルの必要性があることを説いたので今回からG/AFの改装をやっていきたい。 最
-
-
現行Concrete cmsのダッシュボードにデフォルトでは日本語化設定がないよっていう話
急速に時間が出来てきたので前回のお蔵入りから久しぶりにconcrete5。。もといConcrete
-
-
PHPでRSSを取得して記事一覧を表示
concrete5でWordpressの記事一覧を表示してくれって言われたからなんとかできないか模索
-
-
WPプラグイン SyntaxHighlighter Evolvedを試す
このブログは自分がCMSとかPHPを触る時の備忘録も兼ねているのだが、ここに書いたコードが読みづらい
-
-
YosemiteにしたらMAMPが起動しなくなった
Yosemiteに先日アップグレードして暫くMAMPなんて動かすこともな
-
-
Concrete5の凡ミスとその対処
concrete5 テーマ変更で反映されない というキーワードで検索されたことがある様子。
- PREV
- サーバーの最近怖い話
- NEXT
- Air BnB泊まった感想