Re: WordPress・CMSサイトの管理問題 ( No.1 ) |
- 日時: 2013/09/04 13:34
- 名前: june
- ご無沙汰しています
WordPressのユーザー名だけのお話です adminのまま設定した場合ダッシュボードのあなたのプロフィールを見ると admin以外に変更できないようなことが書いてありますが、 簡単に変更できるプラグインがあります プラグイン名 Admin renamer extended
http://webaccess.blog13.fc2.com/blog-entry-92.html プラグインを利用する方法@ を参考にしてください
今回は禁止ワードパスするかな?
|
Re: WordPress・CMSサイトの管理問題 ( No.2 ) |
- 日時: 2013/09/04 13:55
- 名前: りり
- あっ、juneさん、ありがとうございます。
禁止ワードは、かなり外しました。@(半角)gmail.com,[(半角)/url](半角),d(半角)esign,t(半角)heme だけです。
WordPressだと、Theme(半角)というスペルを書きたくなってしまうかもしれませんが、英文のみ投稿に良く出てくる単語ですので、禁止ワード設定しています。
皆様も、禁止ワードについてよろしくお願いします。
|
Re: WordPress・CMSサイトの管理問題 ( No.3 ) |
- 日時: 2013/09/04 14:17
- 名前: june
- 参考サイトのURLが引っかかったのかも?ですね。
解説が丁寧だったんです。
http://five-four.co.jp/design0003/
design0003のeは半角です
|
Re: WordPress・CMSサイトの管理問題 ( No.4 ) |
- 日時: 2013/09/04 14:31
- 名前: りり
- juneさん、ありがとうございます。
ユーザー側の対処としては、adminの名を変えるのが、いの一番かもしれませんね。
あと、いろいろ調べている中で、最新のWordPressだと、adminを変更できるような記事も見かけたのですが、もう少し、ユーザー側対策を調べてみます。
別の所で、teacupが投稿後にスパムと判定したら自動的に非表示にするプログラムを入れているということを書きましたが、サーバ側も、状況を見て、対応を工夫するところもあるんですね。
いくつかのサーバの対策もサッと流してみてみました。比較してご紹介できればと思います。
トップに書いたXserverでは、国外IPアドレスからのアクセス制限の実施をしたわけですが、単にそれだけサーバ内部で設定するのは普通にできるのでしょうけど、ユーザーが簡単に設定できる項目を作って、海外からアクセスしたい方に配慮してから行う辺りが優れものかなと思いました。
でも、その制限を外したら、別の対応策をきっちり自前で行う必要がありますよね。
|
Re: WordPress・CMSサイトの管理問題 ( No.5 ) |
- 日時: 2013/09/04 14:39
- 名前: りり
- あとついでに…直結することではないのですが
トップの画像に、アクセス拒否IPアドレスの一部が見えますが、本当は、これは、とっても長ーいリストになっています。
だいたいは、.htaccessに書き込んでFTPで送るんですが、画像のWeb画面からアクセス拒否IPアドレスを設定することもできます。
.htaccessを更新すると、ちゃんとこの画面でのリストも増えていて、FTPを使わなくても、.htaccessについて余り詳しくなくても、アクセス拒否IPアドレス設定なども、結構簡単にできるようになっています。
|
Re: WordPress・CMSサイトの管理問題 ( No.6 ) |
- 日時: 2013/09/04 14:46
- 名前: りり
- うわっ、書いていたら、またサーバから、メールが来ていました。
━━━最新インフォメーション━━━━━━━━━━ 2013年 9月 4日 ━━ 『WordPress』におけるセキュリティの強化対応について ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
人気CMSツールであるWordPressにおいてはその利用者数の多さから、様々な攻撃事例が多く報告されており、 先日他社サービスにおいても大規模な改ざん被害が報告されております。
これを受け弊社では、WordPressのセキュリティ対策として、国外からのログインを拒否する「WordPress国外IPアクセス制限」機能の対象範囲を拡大するとともに、ログイン試行回数によるアクセス制限を実施する「ログイン試行回数の制限」機能を追加しました。
併せて、セキュリティの多重化を目的とした wp-config.phpのパーミッション補正処理を実施いたしました。 ---------------------------------------------------------------------- ■WordPressセキュリティ対策機能の強化
サーバーパネルにおいて、『WordPressセキュリティ設定』メニューを追加し、 下記の機能を追加いたしました。
◆「WordPress国外IPアクセス制限」の対象範囲の拡大 これまで同機能で対応していたWordPress管理ツールURLへの 国外IPアドレスからのWEBアクセスの制限を、 【全てのフォルダ】へと適用範囲を拡大し 『WordPressセキュリティ設定』機能に統合いたしました。 ・これまでの制限対象アドレス /wp-admin /blog/wp-admin /wp/wp-admin /wp-login.php /blog/wp-login.php /wp/wp-login.php
・拡大後の制限対象アドレス wp-admin wp-login.php
◆ログイン試行回数の制限機能 WordPressの管理領域に対して一定回数以上ログインに失敗したIPアドレスに対し、 アクセス制限を実施する機能を追加いたしました。 ◇マニュアル:http://www.xserver.ne.jp/manual/man_server_wpsecurity.php
■WordPress設定ファイル「wp-config.php」のパーミッション「600」への変更
自動インストールにて新規でインストールされるWordPressおよび お客様にてインストール済みの全てのWordPressに対して、 wp-config.php のファイルパーミッションを公式推奨値の「600」へと変更いたしました。
通常は644等のパーミッションでも問題になることはございませんが、 セキュリティの多重化を目的としてより安全性を高めるため対応を実施しております。
※パーミッションを変更したことによるプログラムへの影響は通常ございません。
なお、大規模改ざんの原因として他サービスにおいて問題性が指摘されている FollowSymlinksによる別ユーザファイルの読み込み処理に関して、 当サービスでは別ユーザへのリンクに対して読み込みを制限するシステムを実装済みであり、 また、同様の手口による改ざんの被害は確認されておりませんのでご安心ください。 ----------------------------------------------------------------------
WordPressに限らず、旧バージョンのプログラムを利用し続けると 既知の脆弱性を突かれ、不正アクセスの対象となる場合がございます。 セキュリティ上の観点から最新版のプログラムをご利用くださいますよう お願いいたします。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ということで、私の使っているサーバは、安心して良いかな?
|
Re: WordPress・CMSサイトの管理問題 ( No.7 ) |
- 日時: 2013/09/04 15:15
- 名前: くりくり
- こんにちは
Xserverもシンボリックリンク攻撃の対処をはじめましたね。
ブログでもかきましたが、今回の手口はwp-config.phpへシンボリックリンクを作成される。 それからデータベースの情報がとられたわけです。 ロリポップはネットからデータベースに接続できるようになっていた。 そのことも条件がわるかったですね。
ちなみにwp-config.phpのパーミッションを600にし別ユーザーてシンボリックリンクを作成しましたが 当たり前ですが読み取れません。
シンボリックリンクしてあるファイルをどのように読み込んだのか? 上記の対応をみるとapacheのほうもをうたがってるみたいですね。 シンボリックリンク作成する時点でapacheつかわなくてもデータベースの情報 を抜き出すことは可能。
こんなプラグインもあるみたいですよ。
・WordPress管理画面への不正アクセスを遮断するプラグイン『Limit Login Attempts』 http://wordpress.org/plugins/limit-login-attempts/ http://haaya.net/3395
・クラッキングを防止してくれるプラグイン Login Lockdown http://www.bad-neighborhood.com/login-lockdown.html http://pro-grammer.info/archives/1001
|
Re: WordPress・CMSサイトの管理問題 ( No.8 ) |
- 日時: 2013/09/04 16:16
- 名前: りり
- くりくり さん
さっそくありがとうございます。
>Xserverもシンボリックリンク攻撃の対処をはじめましたね。
「FollowSymlinksによる別ユーザファイルの読み込み処理に関して、 当サービスでは別ユーザへのリンクに対して読み込みを制限するシステムを実装済みであり」 とあるので、いつからそうなのか、当初からだったのか、分かりませんが、
>ブログでもかきましたが、今回の手口はwp-config.phpへシンボリックリンクを作成される。 それからデータベースの情報がとられたわけです。
あの…よく分からないのですが、これができるのは、同一グループで、同じサーバを使っている者ということですよね? それですと、アクセスログなどで、追求されるかと思うのですが?
パーミッションの変更は、ユーザー側でもできますが、「別ユーザへのリンクに対して読み込みを制限」とか、ログイン試行回数によるアクセス制限などは、サーバ側でないとできないサービスかと思います。
これに関して、他の有名どころのレンタルサーバがどうしているか、見ていきたいなと思っています。
・WordPress管理画面への不正アクセスを遮断するプラグイン『Limit Login Attempts』 ・クラッキングを防止してくれるプラグイン Login Lockdown
これらは、ユーザー側で、設置できるわけですね。
もし、サーバ側の対応が悪ければ、こうした自衛策が必要になりますね。
|
Re: WordPress・CMSサイトの管理問題 ( No.9 ) |
- 日時: 2013/09/04 17:24
- 名前: くりくり
- ロリポップがやってることからの推論ということをまず念頭において置いてください。
また情報が錯綜してるので結論ではありません。 Xserverも情報をつかみきれてないのではないのでしょうか? なんでセキュリティを強化した対応をしてると思います。
さて、
FollowSymlinksはapacheがシンボリックリンクファイルもファイルとして読み込むように指定します。 つまり、FollowSymlinksが有効な場合ブラウザからリンクしたファイルを通じてwp-config.phpが見えてしまう。
>あの…よく分からないのですが、これができるのは、同一グループで、同じサーバを使っている者ということですよね?
サーバーの構成によりますが、今回わかってるのはwp-config.phpのパーミッションが644になっており サーバーでlnコマンドを使えるものでしたら誰でもリンクを作りwp-config.phpの中身を見れた。 クラックするならこの方法で十分だと思うのですが、apacheでの対処もしているのでなんともw
これはおまけで 一般ユーザーを作る場合複数の作り方があります。
1,FTPのログインだけを認める作り方 2.SFTPを使う場合の作り方、一部一般コマンドが使えたりします。 3.最後は普通にログインしコマンドはうてるけど、管理者になれないユーザーとかですかね。 もっとあるかな?
可能性としてあるのはロリポップがセキュリティざるなんで3でつくってたかな?
>アクセスログなどで、追求されるかと思うのですが?
共有サーバーなのでユーザー数も多くログも膨大になるでしょう。 また、ブルートフォースの影響もうけているみたいなのでロリポップは復旧を優先させてるみたいですから 原因追求はこれからになるでしょう。
>これに関して、他の有名どころのレンタルサーバがどうしているか、見ていきたいなと思っています。
こんなんありましたよ。有名じゃないけど・・・。 http://guide.at.flxsrv.jp/help/at/guide/grp58/guide692#STEP5
|
Re: WordPress・CMSサイトの管理問題 ( No.10 ) |
- 日時: 2013/09/04 17:50
- 名前: o6asan
- こんにちは。
> ユーザー側の対処としては、adminの名を変えるのが、いの一番かもしれませんね。
それも大事ですが,ユーザとしては,パスワードの強度を高めるのがいの一番ではありませんかね。
ところで,ユーザ名の変え方としては,ときどき使わせていただいているサイトにこんな記事がありました。 http://8bitodyssey.com/archives/4007
それから,ユーザ名は URL + ?author=ナンバー で簡単に確認できてしまいますから,そこまで気にするなら Edit Author Slug なんぞのプラグインで,スラグを変えておくのも一手です。今見に行ってきたら,サポートも 続いているようなので使えるようです。
このプラグインは,使用後は,削除してしまって問題ありません。
|