*

WordPressハックとその対策

公開日: : CMS

前回の記事で私用で借りているサーバー上にアップロードした覚えのないPHPファイルがあり、中身はどこから入手したのかSQL接続をテストするスクリプトが書かれていたことを公開した。
それに似たような経験を会社でもしていた。

会社ではVPSサーバーを外注しており、そこでファイルの改竄とDOS攻撃の標的になった。
キーワードは公開できないが、一般的にビックキーワードと呼ばれるキーワードで一位を取っているので、そうした標的になるのはある意味必然かもしれない。

で、サーバー会社の社長に問い合わせしたら、どうもWordpressを足掛かりにしていたようだ。
社長の回答はこういう事だった。

「以前にも似たようなケースがあり、OSのCMSは特に標的になる。Wordpressは特に攻撃対象にされやすく、WP側のセキュリティ向上と相手の技術向上でいたちごっこにはなってる。」

っていう事だった。なるほど確かにこの記事を載せているブログはWordpressでできているし、DOS攻撃を受けたサーバーもWordpressを搭載していた。

実は社長の回答には続きがある。

「DOS攻撃をしていた足掛かりとしてwp-loginへの頻繁なアクセスがあり、以前から別件でハックがあるとすると大抵wp-loginを足掛かりにしていた。そこにBasic認証を掛けると良い。」という事だった。

社長はwp-loginにはなるべくBasic認証を掛けるようにしているようで、大体ハックを受けるのはそれをしてないWordpressであるとの事。僕も早速会社とこのサイトにそれを行っておく。
Basic認証について知らない人はググってね。サーバーによって手法が違うから。

 

ただ、社長の助言にはさらに続きがある。

「大前提としてアップデートがあったらすぐする事ですよ。」

ああ、確かにそれは大事だ。

さくらサーバーには休日にでもクレームを入れようと思う。多分負けるけど。

関連記事

WPプラグイン SyntaxHighlighter Evolvedを試す

このブログは自分がCMSとかPHPを触る時の備忘録も兼ねているのだが、ここに書いたコードが読みづらい

記事を読む

no image

[第2回] G/Afをコンクリ5.7に改造する[Concrete5]

ってことで前回の記事から引き続き作業を続ける。 今回は前編と後編に分けてテーマの基本を作成する。

記事を読む

no image

concrete5の欠点

前回ではConcrete5の利点を述べたが、今日はconcrete5の欠点を述べてみたいと思う。

記事を読む

no image

Concrete5の凡ミスとその対処

concrete5 テーマ変更で反映されない というキーワードで検索されたことがある様子。

記事を読む

no image

サブドメインをとったのでサイトのディレクトリを移動した。

最近になってサクラサーバー上で独自ドメインに近いサブドメインを無料で取れる事に気がついてコレを取得し

記事を読む

[第4回] G/Afをコンクリ5.7に改造する[Concrete5]

このホームページの根幹、ギャラリーページを作りこんでみよう。 なんのギャラリーなのかを明示してその

記事を読む

no image

サーバーの最近怖い話

※この記事の結末と要点だけ知りたい人はこっちの記事を見てね。 最近公私ともに怖いことが起こりす

記事を読む

WordPressのサイトパスを変えたときの対処法

Wordpressのインストールをした時、例えばデフォルトのフォルダ名でアップロードしちゃったなんて

記事を読む

サイトをconcrete5.7系に作り変える

唐突だがサイトをリニューアルしたい。さくらでサーバーを借りてから2年目に突入しかけているところだが、

記事を読む

YosemiteにしたらMAMPが起動しなくなった

  Yosemiteに先日アップグレードして暫くMAMPなんて動かすこともな

記事を読む

Message

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

ハセガワ F-15C Eagle Garm1仕様機

サイファー仕様のF-15Cを作成。ハセガワ製のエースコンバッ

twitterサムネの人

一昨年かそのくらいだったか、いつ頃だったか忘れたけどtwit

遊戯王デュエルモンスターズ8 (プレイヤーが)破滅(する)の大邪神をクリアした

今から5年前、ゲーム版遊戯王の中でも屈指のクソゲーとされる封

世間が剣盾で盛り上がる中XYのローカルを遊ぶ三十路男

剣盾では今シーズンオンライン対戦において禁止伝説が1体まで解禁されて

ポケプラ レックウザ レビュー

ポケモンをリアルタイムでプレイしていたのは金銀までで、この間

→もっと見る

PAGE TOP ↑