更なるセキュリティ対策

レンタルサーバのロリポップ!のWordPressが
大規模な攻撃の被害に遭って大変なコトになってるみたいだね・・・

深山おから先生のブログも被害に遭った模様(´・ω・`)



自分もWordPressを利用してる身としては気になって、
公式の障害情報をちょくちょく眺めていたんだけど、
どうも根本的な原因がWordPress周りっぽくて、
あまり他人事とも言えないなーと思い、
ウチのサーバのWordPressも更なるセキュリティ対策を施してみた!

基本的なコトは既にやっているから、
今回は管理画面関連とログイン画面にDigest認証を導入してみた。
とりあえずブルートフォースアタックにかなり有効なはず。
総当たりしようにも、そもそもログイン画面が開けないし。
あとオマケに管理画面をSSL必須にしてみたりー

かなり大胆な変更で管理画面周りで問題が起こるかと思ったけど、
意外と普通に動いてそう?
軽く見た感じは大丈夫っぽい。

一応ブログ全体どこでもSSLでアクセス出来るけど、
Firefoxだとhttpsのページの中にhttpの記述があると、
ブロックされちゃう仕様になってるから、
スタイルシートとかが読めずに表示が崩れる^^;
ま、管理画面以外はSSLとか必要ないから気にしないー

これで一段とセキュアなブログになったはず!

・・・
そもそも「そこまでしなくてもこんなブログ誰も侵入しねーよ!」
って気がそこはかとくするけど、そこは気にしたら負け・・・!(涙

じゃ、ゲームして寝るー
バイニー☆

〜追記〜
改めて障害情報を眺めてみると、WordPressの問題じゃなくて、
単にサーバの設定に問題があったみたいだね・・・
改ざん手法を「WordPressのプラグインやテーマの脆弱性を利用」として説明を行っておりましたが、その脆弱性を侵入経路として、「当社のパーミッションの設定不備を利用」されたことが原因であることを確認しております。他人のせいにしちゃダメダメ。
パーミッションの設定不備で書いてあるけど、
さくらインターネットの田中社長は、
Twitterでこんなコトも。


レンタルサーバの運営ってホント難しそうだなあー・・・

test?

コメントを残す