ホームページを守ろう!セキュリティーUP↑↑
こんにちは。
1週間ほど前から特定のサーバー(主にLOLIPOPなど)でwordpressを利用しているホームページへの
不正アクセス、改竄などの被害が急増しています。
被害数は1万サイトに達する勢いです。
そこで本日は被害を回避する為の対処法をお知らせします。
(100%の回避ではないです(苦笑))
step1.prefix(接頭辞)の変更
これはwordpressをインストールする時に行います。
もちろん途中でも変更できますがMySQLでテーブル名を変更したりと少々面倒です。
wordpressインストール時、
wp-config.php(wp-config-sample.php)にデータベース名などを記述する工程があります。
同ファイルには「wordpress データベーステーブルの接頭辞」という個所があり
初期は$table_prefix = 'wp_';となっています。
wp_を半角英数字とアンダーバーのみを使用し変更する事ができます。
例えば$table_prefix = 'wp_example';など。
既にwordpressをインストール済みで途中からprefix(接頭辞)を変更する場合は
MySQLでテーブル名などを変更しないといけませんのでご注意ください。
step2.ユーザー名、パスの設定・変更
データベース名、データベースのユーザー名、管理パネルのユーザー名、管理パネルのパスワードなどは
推測されにくい文字列などで作成してください。
管理パネルの初期ユーザー名はadminとなっていますがそのまま使用しないようにお願いします。
step3.ログイン画面へのBasic認証の設定
ログイン画面へのBasic認証設定を行います。
Basic認証は.htpasswdを作成しユーザー名、パスワードを記述します。
.htaccessには以下のように記述します。
<Files wp-login.php>
AuthName "example"
AuthType Basic
AuthUserFile /.htpasswdまでのパス/.htpasswd
Require valid-user
</Files>
AuthNameには任意名、AuthUserFileに.htpasswdまでのパスを記述します。
step4.パーミッション(権限)の変更
wp-config.php・・・404または400
wp-login.php・・・404
.htaccessと.htpasswd・・・604
step5.WAF(ウェブアプリケーションファイアウォール)
現在、全てのサーバーに導入されている訳ではないですがWAFがあるようでしたら必ず設定しましょう。
只、かなり強力なのでwordpressとの相性はあまり良くありません。
wordpress上で何かの設定を行う際に403エラーが返されたりします。
あまり実用的ではなく面倒ですが、一旦無効にし設定が終わったら再度有効にしてください。
step6.その他
テンプレートやデータベースなどのバックアップを必ず行いましょう。
万一、データが改竄されても直ぐに復旧ができますので頻繁にバックアップを取る事をお勧めします。
また、wordpressなどのアプリケーションのバージョンは常に最新にするよう心がけましょう。
結局、自分のホームページは自分で守らなくてはいけません。
自分でできる範囲のセキュリティーを実施しホームページを守りましょう。
