WordPress セキュリティ強化

友人たちとWordpressで運営しているサイトが改ざんされてしまった件、その後セキュリティを強化したのでメモ。

①パーミッションは適切なものに(今回はこれが原因。一番初歩的なミスだった)

②パスワードを変更

③不正アクセスチェック用プラグイン Crazy Bone を導入

④その結果、一番多い管理画面アタックユーザー名はadmin。
これは仕方ないけれど、次に多かったサイト名のユーザーは削除

⑤ユーザー名が簡単にわからないように functions.php にコードを追加
・WordPressで「ブルートフォースアタック」や辞書攻撃にあった時にやってみたこと

⑥管理画面のURLを変更するプラグイン Login rebuilder を導入してみるも、変更ファイルが書き込み不可となったまま。新規に作成し、デフォルトのログイン.phpの内容でアップロードし、パーミッションを変更しても「稼働中」とならず。断念。良さそうなのに残念。

⑥改ざんに少しでも早く気が付くためには、IEだけでなくFirefoxやChromeでもサイトにアクセスし、チェックすること(Googleに不審サイトと判定されても–誤診断は少ない–、そのデータを利用して警告画面が表示され、アクセスがブロックされるのはFirefoxやChromeであり、IEでは反映されない。ゆえに、IEのみでアクセスしている場合は改ざんに気が付かない)

⑦改ざんに気が付いたときの対処方法をメンバーと確認

1. サイト訪問者の被害を最小限にとどめるため、サイトアクセスを301リダイレクトで緊急避難ブログ(新規にWordpress.comに無料ブログを作成した)へ誘導(事前に緊急ブログに状況についての記事を掲載しておくこと)

2. 管理メンバーに状況を連絡。各自のPCでウィルス・チェック。管理画面とFTPのパスワードを変更

2. Googleウェッブマスターツールなどで状況を確認

3. FTPで改ざんファイルを検証

4. 並行してレンタルサーバー会社に連絡、検証を依頼

5. 判明した改ざんファイルの修正

6. 最悪の場合、サーバーから全ファイルを削除し、バックアップからサイトを再構築する。メンバーでその作業が出来ない場合は業者に依頼することも検討

7. サイトがクリーンになったことを確認し、Googleウェッブマスターツールから再検証を申請

(個人的に運営している全てのWordpressサイトで、①再確認、③インストール、⑤適用)

 

  • トップへ戻る
  • カテゴリアーカイブ
  • HOME

コメント

メールアドレスが公開されることはありません。* は必須項目です。


*