WordPressハックとその対策
公開日:
:
CMS
前回の記事で私用で借りているサーバー上にアップロードした覚えのないPHPファイルがあり、中身はどこから入手したのかSQL接続をテストするスクリプトが書かれていたことを公開した。
それに似たような経験を会社でもしていた。
会社ではVPSサーバーを外注しており、そこでファイルの改竄とDOS攻撃の標的になった。
キーワードは公開できないが、一般的にビックキーワードと呼ばれるキーワードで一位を取っているので、そうした標的になるのはある意味必然かもしれない。
で、サーバー会社の社長に問い合わせしたら、どうもWordpressを足掛かりにしていたようだ。
社長の回答はこういう事だった。
「以前にも似たようなケースがあり、OSのCMSは特に標的になる。Wordpressは特に攻撃対象にされやすく、WP側のセキュリティ向上と相手の技術向上でいたちごっこにはなってる。」
っていう事だった。なるほど確かにこの記事を載せているブログはWordpressでできているし、DOS攻撃を受けたサーバーもWordpressを搭載していた。
実は社長の回答には続きがある。
「DOS攻撃をしていた足掛かりとしてwp-loginへの頻繁なアクセスがあり、以前から別件でハックがあるとすると大抵wp-loginを足掛かりにしていた。そこにBasic認証を掛けると良い。」という事だった。
社長はwp-loginにはなるべくBasic認証を掛けるようにしているようで、大体ハックを受けるのはそれをしてないWordpressであるとの事。僕も早速会社とこのサイトにそれを行っておく。
Basic認証について知らない人はググってね。サーバーによって手法が違うから。
ただ、社長の助言にはさらに続きがある。
「大前提としてアップデートがあったらすぐする事ですよ。」
ああ、確かにそれは大事だ。
さくらサーバーには休日にでもクレームを入れようと思う。多分負けるけど。
関連記事
-
-
[第2回] G/Afをコンクリ5.7に改造する[Concrete5]
ってことで前回の記事から引き続き作業を続ける。 今回は前編と後編に分けてテーマの基本を作成する。
-
-
サーバーの最近怖い話
※この記事の結末と要点だけ知りたい人はこっちの記事を見てね。 最近公私ともに怖いことが起こりす
-
-
移転した時のCMSの設定いろいろ
前回はリダイレクトの重要性と設定を紹介した。 今回はCMSでやんなくちゃいけない事を紹介したい。(
-
-
[第4回] G/Afをコンクリ5.7に改造する[Concrete5]
このホームページの根幹、ギャラリーページを作りこんでみよう。 なんのギャラリーなのかを明示してその
-
-
WordPressのサイトパスを変えたときの対処法
Wordpressのインストールをした時、例えばデフォルトのフォルダ名でアップロードしちゃったなんて
-
-
PHPでRSSを取得して記事一覧を表示
concrete5でWordpressの記事一覧を表示してくれって言われたからなんとかできないか模索
-
-
concrete5 編集モードの時だけ表示しない 改定
以前編集モードの時にjqueryを読み込みたくなくて、編集モード限定でコメントアウトする方法を掲載し
-
-
サイトをconcrete5.7系に作り変える
唐突だがサイトをリニューアルしたい。さくらでサーバーを借りてから2年目に突入しかけているところだが、
-
-
Concrete5の凡ミスとその対処
concrete5 テーマ変更で反映されない というキーワードで検索されたことがある様子。
-
-
Designer Contentでブロックを作る
Concrete5の無料で用意されているアドオンの一種類である「Sortable Fancybox
- PREV
- サーバーの最近怖い話
- NEXT
- Air BnB泊まった感想
