WordPress改ざんへの対応をエックスサーバーが公開しました。

『WordPress』におけるセキュリティの強化対応について

2013/09/04

平素は当サービスをご利用いただき誠にありがとうございます。

人気CMSツールであるWordPressにおいては
その利用者数の多さから、様々な攻撃事例が多く報告されており、
先日他社サービスにおいても大規模な改ざん被害が報告されております。

これを受け弊社では、WordPressのセキュリティ対策として、
国外からのログインを拒否する「WordPress国外IPアクセス制限」機能の対象範囲を拡大するとともに、
ログイン試行回数によるアクセス制限を実施する「ログイン試行回数の制限」機能を追加しました。

併せて、セキュリティの多重化を目的とした
wp-config.phpのパーミッション補正処理を実施いたしました。


詳細につきましては下記をご覧ください。

----------------------------------------------------------------------------------------
■WordPressセキュリティ対策機能の強化

サーバーパネルにおいて、『WordPressセキュリティ設定』メニューを追加し、
下記の機能を追加いたしました。

　◆「WordPress国外IPアクセス制限」の対象範囲の拡大
　　
　　これまで同機能で対応していたWordPress管理ツールURLへの
　　国外IPアドレスからのWEBアクセスの制限を、
　　【全てのフォルダ】へと適用範囲を拡大し
　　『WordPressセキュリティ設定』機能に統合いたしました。
　　
　　・これまでの制限対象アドレス
　　　/wp-admin
　　　/blog/wp-admin
　　　/wp/wp-admin
　　　/wp-login.php
　　　/blog/wp-login.php
　　　/wp/wp-login.php

　　・拡大後の制限対象アドレス
　　　wp-admin
　　　wp-login.php

　◆ログイン試行回数の制限機能
　　
　　WordPressの管理領域に対して一定回数以上ログインに失敗したIPアドレスに対し、
　　アクセス制限を実施する機能を追加いたしました。
　　
　◇マニュアル：WordPressセキュリティ設定

■WordPress設定ファイル「wp-config.php」のパーミッション「600」への変更

　自動インストールにて新規でインストールされるWordPressおよび
　お客様にてインストール済みの全てのWordPressに対して、
　wp-config.php のファイルパーミッションを公式推奨値の「600」へと変更いたしました。

　通常は644等のパーミッションでも問題になることはございませんが、
　セキュリティの多重化を目的としてより安全性を高めるため対応を実施しております。

　　※パーミッションを変更したことによるプログラムへの影響は通常ございません。

　なお、大規模改ざんの原因として他サービスにおいて問題性が指摘されている
　FollowSymlinksによる別ユーザファイルの読み込み処理に関して、
　当サービスでは別ユーザへのリンクに対して読み込みを制限するシステムを実装済みであり、
　また、同様の手口による改ざんの被害は確認されておりませんのでご安心ください。

----------------------------------------------------------------------------------------

WordPressに限らず、旧バージョンのプログラムを利用し続けると既知の脆弱性を突かれ、
不正アクセスの対象となる場合がございます。
セキュリティ上の観点から最新版のプログラムをご利用くださいますようお願いいたします。


弊社では、今後もお客様に安心してサービスをご利用いただけるよう、
機能の改善やセキュリティ強化に努めてまいります。
今後ともエックスサーバーをよろしくお願い申し上げます。