TODOS・何でも情報交換TOPから是非ご覧ください。
一番下の投稿フォームへ > スレッド一覧 > 記事閲覧
WordPress・CMSサイトの管理問題
日時: 2013/09/04 06:44
名前: りり

常駐員紹介のjuneさんの掲示板、o6asanさん、さかいさんのブログなどで、WordPress改竄問題が出ています。

WordPressを代表とするCMSサイトでは、Web上で簡単にサイト更新ができる利便性があるわけですが、それだけに管理パスワードを知られてしまうと、勝手に書き換えられてしまうわけです。

一番良くあるのは、ブルートフォースアタック(ID/パスワードを手当たり次第試してログインを試みる方法)らしいです。IDは初期のadminをそのままという例が多いでしょうから、パスワードだけなら、結構当たってしまうかもしれません。
http://www.issun.com/blog/dont-use-name-admin/


そのほか、ID/パスワードが書かれているファイルを盗み見る手口がいろいろあるようです。

そう言えば、この4月に、使っているServerから、メールが来ていました。


━━━最新インフォメーション━━━━━━━━━━ 2013年 4月10日 ━━

 「WordPressの管理ツール」に対するセキュリティ向上を目的とした
 国外IPアドレスからのアクセス制限の実施および
 「WordPress国外IPアクセス制限」機能の追加について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
人気ブログツールであるWordPressにおいては
その利用者数の多さから、管理ツールに対するブルートフォースアタック
(ID/パスワードを手当たり次第試してログインを試みる方法)による攻撃事例が
多く報告されております。

当サービスにおいても、特に今週に入り、お客様が運用中のWordPressに対して
日本国外のIPアドレスを経由した大量のブルートフォースアタックが確認されております。

弊社ではこれを受け、お客様のWordPressが不正に乗っ取られることを防ぎ、
なおかつ過剰な攻撃処理によるサーバー負荷の上昇やサーバー障害の発生を防ぐため、
お客様がすでに運用中のWordPressや今後新規に設置するWordPressにおいて、
以下管理ツールURLへの国外IPアドレスからのWEBアクセスを制限することといたしました。

◆制限を行ったアドレス
 /wp-admin
 /blog/wp-admin
 /wp/wp-admin
 /wp-login.php
 /blog/wp-login.php
 /wp/wp-login.php

なお、サーバーパネルにおいて、
本制限の解除が可能な「WordPress国外IPアクセス制限」機能を追加いたしております。

国外にご在住等、国外IPアドレスからWordPressの更新が必要なお客様におきましては、
サーバーパネル「アクセス拒否設定」→「WordPress国外IPアクセス制限」にて
本制限を解除し、WordPress管理ツールへのログインをお試しください。

また、国内IPアドレスからのアクセスであっても、
ごくまれに海外IPアドレスからの接続とシステム上誤認され、
WordPress管理ツールへアクセスできなくなるケースがございます。

この場合にも、大変お手数ですが、
「WordPress国外IPアクセス制限」より本制限の解除をお願いいたします。


サーバーのセキュリティ・安定性を高め、
お客様により安心してご利用いただくための対策となりますので、
何卒ご理解とご協力をお願いいたします。


弊社では、今後もお客様に安心してサービスをご利用いただけるよう、
機能の改善に努めてまいります。
今後ともエックスサーバーをよろしくお願い申し上げます。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

画像のように、 サーバーパネル「アクセス拒否設定」に「WordPress国外IPアクセス制限」という項目が出ます。

このあたりも、サーバー側の技量でいろいろ差があるかもしれません。

迷惑投稿も日本国外のIPアドレスを経由が全部ですし、閲覧には支障が無いので、こうした特定の重要ファイルにWEBアクセス制限をかけるのは、有効かと思います。


また他にも、CMSを狙った脅威に対する対策などありましたら、よろしくお願いします。
こちらは、「サイト設営・運営」なので、サーバ側の対処方法ではなく、あくまでもユーザー側の注意という観点ですが、しっかり対処しているお奨めサーバの紹介などもあればお願いします。
メンテ

*TODOS・何でも情報交換・TOP*<スレッドPage> 最新 | 3 | 2 | 1 |

Re: WordPress・CMSサイトの管理問題 ( No.1 )
日時: 2013/09/04 13:34
名前: june

ご無沙汰しています

WordPressのユーザー名だけのお話です
adminのまま設定した場合ダッシュボードのあなたのプロフィールを見ると
admin以外に変更できないようなことが書いてありますが、
簡単に変更できるプラグインがあります
プラグイン名 Admin renamer extended

http://webaccess.blog13.fc2.com/blog-entry-92.html
プラグインを利用する方法@
を参考にしてください

今回は禁止ワードパスするかな?
メンテ
Re: WordPress・CMSサイトの管理問題 ( No.2 )
日時: 2013/09/04 13:55
名前: りり

あっ、juneさん、ありがとうございます。

禁止ワードは、かなり外しました。@(半角)gmail.com,[(半角)/url](半角),d(半角)esign,t(半角)heme だけです。

WordPressだと、Theme(半角)というスペルを書きたくなってしまうかもしれませんが、英文のみ投稿に良く出てくる単語ですので、禁止ワード設定しています。

皆様も、禁止ワードについてよろしくお願いします。
メンテ
Re: WordPress・CMSサイトの管理問題 ( No.3 )
日時: 2013/09/04 14:17
名前: june

参考サイトのURLが引っかかったのかも?ですね。
解説が丁寧だったんです。

http://five-four.co.jp/design0003/

design0003のeは半角です
メンテ
Re: WordPress・CMSサイトの管理問題 ( No.4 )
日時: 2013/09/04 14:31
名前: りり

juneさん、ありがとうございます。

ユーザー側の対処としては、adminの名を変えるのが、いの一番かもしれませんね。

あと、いろいろ調べている中で、最新のWordPressだと、adminを変更できるような記事も見かけたのですが、もう少し、ユーザー側対策を調べてみます。


別の所で、teacupが投稿後にスパムと判定したら自動的に非表示にするプログラムを入れているということを書きましたが、サーバ側も、状況を見て、対応を工夫するところもあるんですね。

いくつかのサーバの対策もサッと流してみてみました。比較してご紹介できればと思います。


トップに書いたXserverでは、国外IPアドレスからのアクセス制限の実施をしたわけですが、単にそれだけサーバ内部で設定するのは普通にできるのでしょうけど、ユーザーが簡単に設定できる項目を作って、海外からアクセスしたい方に配慮してから行う辺りが優れものかなと思いました。

でも、その制限を外したら、別の対応策をきっちり自前で行う必要がありますよね。
メンテ
Re: WordPress・CMSサイトの管理問題 ( No.5 )
日時: 2013/09/04 14:39
名前: りり

あとついでに…直結することではないのですが

トップの画像に、アクセス拒否IPアドレスの一部が見えますが、本当は、これは、とっても長ーいリストになっています。

だいたいは、.htaccessに書き込んでFTPで送るんですが、画像のWeb画面からアクセス拒否IPアドレスを設定することもできます。

.htaccessを更新すると、ちゃんとこの画面でのリストも増えていて、FTPを使わなくても、.htaccessについて余り詳しくなくても、アクセス拒否IPアドレス設定なども、結構簡単にできるようになっています。
メンテ
Re: WordPress・CMSサイトの管理問題 ( No.6 )
日時: 2013/09/04 14:46
名前: りり

うわっ、書いていたら、またサーバから、メールが来ていました。

━━━最新インフォメーション━━━━━━━━━━ 2013年 9月 4日 ━━
  『WordPress』におけるセキュリティの強化対応について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

人気CMSツールであるWordPressにおいてはその利用者数の多さから、様々な攻撃事例が多く報告されており、
先日他社サービスにおいても大規模な改ざん被害が報告されております。

これを受け弊社では、WordPressのセキュリティ対策として、国外からのログインを拒否する「WordPress国外IPアクセス制限」機能の対象範囲を拡大するとともに、ログイン試行回数によるアクセス制限を実施する「ログイン試行回数の制限」機能を追加しました。

併せて、セキュリティの多重化を目的とした
wp-config.phpのパーミッション補正処理を実施いたしました。
----------------------------------------------------------------------
■WordPressセキュリティ対策機能の強化

サーバーパネルにおいて、『WordPressセキュリティ設定』メニューを追加し、
下記の機能を追加いたしました。

 ◆「WordPress国外IPアクセス制限」の対象範囲の拡大
  
  これまで同機能で対応していたWordPress管理ツールURLへの
  国外IPアドレスからのWEBアクセスの制限を、
  【全てのフォルダ】へと適用範囲を拡大し
  『WordPressセキュリティ設定』機能に統合いたしました。
  
  ・これまでの制限対象アドレス
   /wp-admin
   /blog/wp-admin
   /wp/wp-admin
   /wp-login.php
   /blog/wp-login.php
   /wp/wp-login.php

  ・拡大後の制限対象アドレス
   wp-admin
   wp-login.php

 ◆ログイン試行回数の制限機能
  
  WordPressの管理領域に対して一定回数以上ログインに失敗したIPアドレスに対し、
  アクセス制限を実施する機能を追加いたしました。
  
 ◇マニュアル:http://www.xserver.ne.jp/manual/man_server_wpsecurity.php

■WordPress設定ファイル「wp-config.php」のパーミッション「600」への変更

 自動インストールにて新規でインストールされるWordPressおよび
 お客様にてインストール済みの全てのWordPressに対して、
 wp-config.php のファイルパーミッションを公式推奨値の「600」へと変更いたしました。

 通常は644等のパーミッションでも問題になることはございませんが、
 セキュリティの多重化を目的としてより安全性を高めるため対応を実施しております。

  ※パーミッションを変更したことによるプログラムへの影響は通常ございません。

 なお、大規模改ざんの原因として他サービスにおいて問題性が指摘されている
 FollowSymlinksによる別ユーザファイルの読み込み処理に関して、
 当サービスでは別ユーザへのリンクに対して読み込みを制限するシステムを実装済みであり、
 また、同様の手口による改ざんの被害は確認されておりませんのでご安心ください。
----------------------------------------------------------------------

WordPressに限らず、旧バージョンのプログラムを利用し続けると
既知の脆弱性を突かれ、不正アクセスの対象となる場合がございます。
セキュリティ上の観点から最新版のプログラムをご利用くださいますよう
お願いいたします。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


ということで、私の使っているサーバは、安心して良いかな?
メンテ
Re: WordPress・CMSサイトの管理問題 ( No.7 )
日時: 2013/09/04 15:15
名前: くりくり

こんにちは

Xserverもシンボリックリンク攻撃の対処をはじめましたね。

ブログでもかきましたが、今回の手口はwp-config.phpへシンボリックリンクを作成される。
それからデータベースの情報がとられたわけです。
ロリポップはネットからデータベースに接続できるようになっていた。
そのことも条件がわるかったですね。

ちなみにwp-config.phpのパーミッションを600にし別ユーザーてシンボリックリンクを作成しましたが
当たり前ですが読み取れません。

シンボリックリンクしてあるファイルをどのように読み込んだのか?
上記の対応をみるとapacheのほうもをうたがってるみたいですね。
シンボリックリンク作成する時点でapacheつかわなくてもデータベースの情報
を抜き出すことは可能。

こんなプラグインもあるみたいですよ。

・WordPress管理画面への不正アクセスを遮断するプラグイン『Limit Login Attempts』
http://wordpress.org/plugins/limit-login-attempts/
http://haaya.net/3395

・クラッキングを防止してくれるプラグイン Login Lockdown
http://www.bad-neighborhood.com/login-lockdown.html
http://pro-grammer.info/archives/1001
メンテ
Re: WordPress・CMSサイトの管理問題 ( No.8 )
日時: 2013/09/04 16:16
名前: りり

くりくり さん

さっそくありがとうございます。


>Xserverもシンボリックリンク攻撃の対処をはじめましたね。

「FollowSymlinksによる別ユーザファイルの読み込み処理に関して、
 当サービスでは別ユーザへのリンクに対して読み込みを制限するシステムを実装済みであり」
とあるので、いつからそうなのか、当初からだったのか、分かりませんが、


>ブログでもかきましたが、今回の手口はwp-config.phpへシンボリックリンクを作成される。
それからデータベースの情報がとられたわけです。

あの…よく分からないのですが、これができるのは、同一グループで、同じサーバを使っている者ということですよね?
それですと、アクセスログなどで、追求されるかと思うのですが?


パーミッションの変更は、ユーザー側でもできますが、「別ユーザへのリンクに対して読み込みを制限」とか、ログイン試行回数によるアクセス制限などは、サーバ側でないとできないサービスかと思います。

これに関して、他の有名どころのレンタルサーバがどうしているか、見ていきたいなと思っています。


・WordPress管理画面への不正アクセスを遮断するプラグイン『Limit Login Attempts』
・クラッキングを防止してくれるプラグイン Login Lockdown

これらは、ユーザー側で、設置できるわけですね。

もし、サーバ側の対応が悪ければ、こうした自衛策が必要になりますね。
メンテ
Re: WordPress・CMSサイトの管理問題 ( No.9 )
日時: 2013/09/04 17:24
名前: くりくり

ロリポップがやってることからの推論ということをまず念頭において置いてください。
また情報が錯綜してるので結論ではありません。
Xserverも情報をつかみきれてないのではないのでしょうか?
なんでセキュリティを強化した対応をしてると思います。

さて、

FollowSymlinksはapacheがシンボリックリンクファイルもファイルとして読み込むように指定します。
つまり、FollowSymlinksが有効な場合ブラウザからリンクしたファイルを通じてwp-config.phpが見えてしまう。

>あの…よく分からないのですが、これができるのは、同一グループで、同じサーバを使っている者ということですよね?

サーバーの構成によりますが、今回わかってるのはwp-config.phpのパーミッションが644になっており
サーバーでlnコマンドを使えるものでしたら誰でもリンクを作りwp-config.phpの中身を見れた。
クラックするならこの方法で十分だと思うのですが、apacheでの対処もしているのでなんともw

これはおまけで
一般ユーザーを作る場合複数の作り方があります。

1,FTPのログインだけを認める作り方
2.SFTPを使う場合の作り方、一部一般コマンドが使えたりします。
3.最後は普通にログインしコマンドはうてるけど、管理者になれないユーザーとかですかね。
もっとあるかな?

可能性としてあるのはロリポップがセキュリティざるなんで3でつくってたかな?

>アクセスログなどで、追求されるかと思うのですが?

共有サーバーなのでユーザー数も多くログも膨大になるでしょう。
また、ブルートフォースの影響もうけているみたいなのでロリポップは復旧を優先させてるみたいですから
原因追求はこれからになるでしょう。

>これに関して、他の有名どころのレンタルサーバがどうしているか、見ていきたいなと思っています。

こんなんありましたよ。有名じゃないけど・・・。
http://guide.at.flxsrv.jp/help/at/guide/grp58/guide692#STEP5
メンテ
Re: WordPress・CMSサイトの管理問題 ( No.10 )
日時: 2013/09/04 17:50
名前: o6asan

こんにちは。

> ユーザー側の対処としては、adminの名を変えるのが、いの一番かもしれませんね。

それも大事ですが,ユーザとしては,パスワードの強度を高めるのがいの一番ではありませんかね。

ところで,ユーザ名の変え方としては,ときどき使わせていただいているサイトにこんな記事がありました。
http://8bitodyssey.com/archives/4007

それから,ユーザ名は
URL + ?author=ナンバー
で簡単に確認できてしまいますから,そこまで気にするなら
Edit Author Slug
なんぞのプラグインで,スラグを変えておくのも一手です。今見に行ってきたら,サポートも
続いているようなので使えるようです。

このプラグインは,使用後は,削除してしまって問題ありません。
メンテ

*TODOS・何でも情報交換・TOP*<スレッドPage> 最新 | 3 | 2 | 1 |

楽しい交流と情報交換のTODOS・アップローダーも用意。ぜひTOPからもご覧ください。
ご参考になりましたら、お気軽に一筆お書き込みくださいませ。
題名 スレッドをトップへソート
名前
画像添付
JPEG
GIF
PNG



参照ボタンを押して、PCの画像を指定ください。3枚まで指定できます。縮小画像はクリックで拡大されます。
パスワード (好きなパスワードを。投稿後、右下のスパナマークをクリックし、そのパスワードを入れて修正できます。)
コメント

   クッキー保存
スレッドTOPへ***スレッド一覧