TODOS・何でも情報交換TOPから是非ご覧ください。
一番下の投稿フォームへ > スレッド一覧 > 記事閲覧
WordPress・CMSサイトの管理問題
日時: 2013/09/04 06:44
名前: りり

常駐員紹介のjuneさんの掲示板、o6asanさん、さかいさんのブログなどで、WordPress改竄問題が出ています。

WordPressを代表とするCMSサイトでは、Web上で簡単にサイト更新ができる利便性があるわけですが、それだけに管理パスワードを知られてしまうと、勝手に書き換えられてしまうわけです。

一番良くあるのは、ブルートフォースアタック(ID/パスワードを手当たり次第試してログインを試みる方法)らしいです。IDは初期のadminをそのままという例が多いでしょうから、パスワードだけなら、結構当たってしまうかもしれません。
http://www.issun.com/blog/dont-use-name-admin/


そのほか、ID/パスワードが書かれているファイルを盗み見る手口がいろいろあるようです。

そう言えば、この4月に、使っているServerから、メールが来ていました。


━━━最新インフォメーション━━━━━━━━━━ 2013年 4月10日 ━━

 「WordPressの管理ツール」に対するセキュリティ向上を目的とした
 国外IPアドレスからのアクセス制限の実施および
 「WordPress国外IPアクセス制限」機能の追加について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
人気ブログツールであるWordPressにおいては
その利用者数の多さから、管理ツールに対するブルートフォースアタック
(ID/パスワードを手当たり次第試してログインを試みる方法)による攻撃事例が
多く報告されております。

当サービスにおいても、特に今週に入り、お客様が運用中のWordPressに対して
日本国外のIPアドレスを経由した大量のブルートフォースアタックが確認されております。

弊社ではこれを受け、お客様のWordPressが不正に乗っ取られることを防ぎ、
なおかつ過剰な攻撃処理によるサーバー負荷の上昇やサーバー障害の発生を防ぐため、
お客様がすでに運用中のWordPressや今後新規に設置するWordPressにおいて、
以下管理ツールURLへの国外IPアドレスからのWEBアクセスを制限することといたしました。

◆制限を行ったアドレス
 /wp-admin
 /blog/wp-admin
 /wp/wp-admin
 /wp-login.php
 /blog/wp-login.php
 /wp/wp-login.php

なお、サーバーパネルにおいて、
本制限の解除が可能な「WordPress国外IPアクセス制限」機能を追加いたしております。

国外にご在住等、国外IPアドレスからWordPressの更新が必要なお客様におきましては、
サーバーパネル「アクセス拒否設定」→「WordPress国外IPアクセス制限」にて
本制限を解除し、WordPress管理ツールへのログインをお試しください。

また、国内IPアドレスからのアクセスであっても、
ごくまれに海外IPアドレスからの接続とシステム上誤認され、
WordPress管理ツールへアクセスできなくなるケースがございます。

この場合にも、大変お手数ですが、
「WordPress国外IPアクセス制限」より本制限の解除をお願いいたします。


サーバーのセキュリティ・安定性を高め、
お客様により安心してご利用いただくための対策となりますので、
何卒ご理解とご協力をお願いいたします。


弊社では、今後もお客様に安心してサービスをご利用いただけるよう、
機能の改善に努めてまいります。
今後ともエックスサーバーをよろしくお願い申し上げます。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

画像のように、 サーバーパネル「アクセス拒否設定」に「WordPress国外IPアクセス制限」という項目が出ます。

このあたりも、サーバー側の技量でいろいろ差があるかもしれません。

迷惑投稿も日本国外のIPアドレスを経由が全部ですし、閲覧には支障が無いので、こうした特定の重要ファイルにWEBアクセス制限をかけるのは、有効かと思います。


また他にも、CMSを狙った脅威に対する対策などありましたら、よろしくお願いします。
こちらは、「サイト設営・運営」なので、サーバ側の対処方法ではなく、あくまでもユーザー側の注意という観点ですが、しっかり対処しているお奨めサーバの紹介などもあればお願いします。
メンテ

*TODOS・何でも情報交換・TOP*<スレッドPage> 最新 | 3 | 2 | 1 |

Re: WordPress・CMSサイトの管理問題 ( No.17 )
日時: 2013/09/25 08:54
名前: くりくり

おはようございます。
3.0.2以前のバージョンにxmlrpc.phpの脆弱性がありますからね。
http://jvndb.jvn.jp/ja/contents/2010/JVNDB-2010-004301.html
メンテ
Re: WordPress・CMSサイトの管理問題 ( No.18 )
日時: 2013/09/25 09:49
名前: o6asan

> そんなこと関係なく、各サイト総当たりなのか?

よくあるやつは,そうだと思います。水飲み場攻撃とか仕掛ける場合は,相手先がもともと結構絞られている
でしょうが,普通のは「下手な鉄砲も数撃ちゃ当たる」方式でしょう。で,当たったら,めぼしいところを調べる。

だから,脆弱性が見つかったときは,可能な限り早く配布されるパッチなどを当てて,手当しておくことが
大切だと思うんです。ゼロデイという問題はありますが,一般の人は自分でパッチの作成などできませんから,
このしか方法がありませんし,これをやっておくだけでも,大きな違いがあると思います。

この話は,CMSに限ったことではなく,WindowsなどのOSでも同じですよね。

メンテ
Re: WordPress・CMSサイトの管理問題 ( No.19 )
日時: 2013/09/25 19:00
名前: りり

うわっ、総当たりしてきますか…
その場合、ポピュラーなサーバだと来やすいとか、ありますかね?

o6asanさんの個人サーバにもやってきていますか?

メンテ
Re: WordPress・CMSサイトの管理問題 ( No.20 )
日時: 2013/09/25 23:19
名前: o6asan

> うわっ、総当たりしてきますか…

私は,自分でやったことはないので ,まあ,想像なんですが,総当たりというか,
全自動というか,そういうたぐいのリストとか,ツールとか,セキュリティ関連サイトでよく読みます。

> o6asanさんの個人サーバにもやってきていますか?

結構来ます。
うちのような零細なところですら来るので,「下手な鉄砲も数撃ちゃ当たる」だろうと,思うわけです。
メンテ
Re: WordPress・CMSサイトの管理問題 ( No.21 )
日時: 2013/09/26 07:26
名前: りり

まあ!

それでは、セキュリティには神経を使いますね。

うちも、二度、不審なアクセスをブロックしました…が出て、ルーターをかいくぐってくるのかと、心配も…
メンテ
Re: WordPress・CMSサイトの管理問題 ( No.22 )
日時: 2013/10/25 13:14
名前: くりくり

うちの連中がwordpressのセキュリティ関係でバージョンアップをかけてますが
バージョンアップをすると500エラーになる現象がでています。

調べてみるとどうやらメモリー不足でアップデータできないみたいでした。
ログにはFatal error: Allowed memory size of なんちゃとでています。
あほみたいにwordpressを作りすぎが原因だとおもいますが
そこでサーバー側でphpのメモリー使用量を変更。

この設定はwordpressでもバージョンによりますがwp-config.phpにある。

define(‘WP_MEMORY_LIMIT’, ’128M’); を変更することで修正することも可能らしいです。

また、php.iniを編集できない場合は.htaccessで
php_value memory_limit XXM
とかくことでなおせるらしいです。

最新のwordpressは3.6.1にバージョンアップしてますが、
phpのメモリー使用量がふえたのかな?
メンテ
Re: WordPress・CMSサイトの管理問題 ( No.23 )
日時: 2013/10/25 13:59
名前: りり

wordpressは、負荷が高いみたいですね。

それで、私は、ここのところ、wordpressに似ていて、より簡易なQuick Homepage Makerに移行しています。
http://todos.xsrv.jp/22patiohp/todos.cgi?no=17

データベースを使わないので、移転も楽です。

編集したデータなどは、ちょっと煩雑な記号のtxtになって保存されていますが、勝手が分かると、そのデータそのもので変更してしまうこともできるようです。
メンテ
Re: WordPress・CMSサイトの管理問題 ( No.24 )
日時: 2013/10/25 14:48
名前: くりくり

試しにつくってみました。
サーバー側で色々できるみたいですね。

なんかHPビルダーがサイトにくっついているみたいですね。

あれ?
負荷をしらべようとF5繰り返していたらサイト表示ができなく・・・。
エラーログにはそんなファイルないとかでるし。
ちゃんと表示できたのに

nginx php-fpmじゃ問題があるのかな?
メンテ
Re: WordPress・CMSサイトの管理問題 ( No.25 )
日時: 2013/10/25 14:58
名前: りり

おぉー、さすがにくりくりさん、はやわざですねーーー

これは、PHPさえ使えるサーバなら入れられるので、WordPressより随分敷居が低くなると思います。

WordPressのように、編集ユーザーを複数登録したり、権限をつけたり、ブログコメント認証など必要ない…
一般的サイトなら、Quick Homepage Makerの機能で十分なのですよね。

ただし、まだ発展途上という気がしますが。あと有料版との差別化が激しく、そのあたりが今後の発展のネックになるような気がします。


Quick Homepage Makerで遊んでみて、何かお気づきのことがありましたら、どうぞ、こちらに参加ください。
http://todos.xsrv.jp/22patiohp/todos.cgi?no=17

いまのところ
ぱそ吉さん
http://pasokiti.todos.ne.jp/index.php

http://lily.todos.ne.jp/index.php
がいろいろテストしています。
メンテ
Re: WordPress・CMSサイトの管理問題 ( No.26 )
日時: 2013/10/25 15:19
名前: くりくり

ディレクトリの中身みましたら.htaccessとか色々な所にありますね。
apacheのほうがいいのかな。

今度試しにやってみます。
メンテ

*TODOS・何でも情報交換・TOP*<スレッドPage> 最新 | 3 | 2 | 1 |

楽しい交流と情報交換のTODOS・アップローダーも用意。ぜひTOPからもご覧ください。
ご参考になりましたら、お気軽に一筆お書き込みくださいませ。
題名 スレッドをトップへソート
名前
画像添付
JPEG
GIF
PNG


参照ボタンを押して、PCの画像を指定ください。3枚まで指定できます。縮小画像はクリックで拡大されます。
パスワード (好きなパスワードを。投稿後、右下のスパナマークをクリックし、そのパスワードを入れて修正できます。)
コメント

   クッキー保存
スレッドTOPへ***スレッド一覧