*

WordPressハックとその対策

公開日: : 最終更新日:2024/01/18 CMS

前回の記事で私用で借りているサーバー上にアップロードした覚えのないPHPファイルがあり、中身はどこから入手したのかSQL接続をテストするスクリプトが書かれていたことを公開した。
それに似たような経験を会社でもしていた。

会社ではVPSサーバーを外注しており、そこでファイルの改竄とDOS攻撃の標的になった。
キーワードは公開できないが、一般的にビックキーワードと呼ばれるキーワードで一位を取っているので、そうした標的になるのはある意味必然かもしれない。

で、サーバー会社の社長に問い合わせしたら、どうもWordpressを足掛かりにしていたようだ。
社長の回答はこういう事だった。

「以前にも似たようなケースがあり、OSのCMSは特に標的になる。Wordpressは特に攻撃対象にされやすく、WP側のセキュリティ向上と相手の技術向上でいたちごっこにはなってる。」

っていう事だった。なるほど確かにこの記事を載せているブログはWordpressでできているし、DOS攻撃を受けたサーバーもWordpressを搭載していた。

実は社長の回答には続きがある。

「DOS攻撃をしていた足掛かりとしてwp-loginへの頻繁なアクセスがあり、以前から別件でハックがあるとすると大抵wp-loginを足掛かりにしていた。そこにBasic認証を掛けると良い。」という事だった。

社長はwp-loginにはなるべくBasic認証を掛けるようにしているようで、大体ハックを受けるのはそれをしてないWordpressであるとの事。僕も早速会社とこのサイトにそれを行っておく。
Basic認証について知らない人はググってね。サーバーによって手法が違うから。

 

ただ、社長の助言にはさらに続きがある。

「大前提としてアップデートがあったらすぐする事ですよ。」

ああ、確かにそれは大事だ。

さくらサーバーには休日にでもクレームを入れようと思う。多分負けるけど。

関連記事

現行Concrete cmsのダッシュボードにデフォルトでは日本語化設定がないよっていう話

急速に時間が出来てきたので前回のお蔵入りから久しぶりにconcrete5。。もといConcrete

記事を読む

no image

Concrete5の凡ミスとその対処

concrete5 テーマ変更で反映されない というキーワードで検索されたことがある様子。

記事を読む

no image

[第2回] G/Afをコンクリ5.7に改造する[Concrete5]

ってことで前回の記事から引き続き作業を続ける。 今回は前編と後編に分けてテーマの基本を作成する。

記事を読む

no image

Concrete5で編集モードのときだけ記述しない。

いつだったかの記事でjQueryがConcrete5の動作を邪魔するからリリース時までコメントアウト

記事を読む

WordPressのサイトパスを変えたときの対処法

Wordpressのインストールをした時、例えばデフォルトのフォルダ名でアップロードしちゃったなんて

記事を読む

YosemiteにしたらMAMPが起動しなくなった

  Yosemiteに先日アップグレードして暫くMAMPなんて動かすこともな

記事を読む

concrete5 編集モードの時だけ表示しない 改定

以前編集モードの時にjqueryを読み込みたくなくて、編集モード限定でコメントアウトする方法を掲載し

記事を読む

no image

concrete5の欠点

前回ではConcrete5の利点を述べたが、今日はconcrete5の欠点を述べてみたいと思う。

記事を読む

WPプラグイン SyntaxHighlighter Evolvedを試す

このブログは自分がCMSとかPHPを触る時の備忘録も兼ねているのだが、ここに書いたコードが読みづらい

記事を読む

[第4回] G/Afをコンクリ5.7に改造する[Concrete5]

このホームページの根幹、ギャラリーページを作りこんでみよう。 なんのギャラリーなのかを明示してその

記事を読む

Message

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

タキオンデッキ

(記事はまだ更新予定です。) https://twit

閃刀入門

チラ裏に近い記事は書かない・書いていても公開しないつもりだっ

MD魔術師S23レポ

前回の記事を書いた時からデビューしたマスターデュエル。ただ、

マスターデュエルにてやっとプラチナに上がれた話

ネットの友人にモチベを掛けられてマスターデュエル参入。リンク

太陽の帝国、大鷲の群れに挑まんとす(ゲームジャーナル39号 真珠湾強襲リプレイpart:1)

初め半年や1年の間は随分暴れてご覧に入れる。然しながら、2年3年と

→もっと見る

PAGE TOP ↑