WordPress改ざんへの対応をエックスサーバーが公開しました。
ロリポップ!のWordPressサイトが大量に クラック(ハッキング)されちゃってます。 でも記事にしましたが、今では超有名になったロリポップ!さんの WordPressサイトの大量改ざん への対応をエックスサーバーが発表しました。
といっても、ロリポップ!さんとは、異なり、こちらは、既に FollowSymlinks の問題については、対応済みということで、改まって対応されたのは、
念押しのための wp-config.php の 600 対応です。
国外IPアクセス制限もありますが、今回の改ざんへの対応としては、 wp-config.php の 600 対応だけ?のようです。
『WordPress』におけるセキュリティの強化対応について
2013/09/04
平素は当サービスをご利用いただき誠にありがとうございます。
人気CMSツールであるWordPressにおいては
その利用者数の多さから、様々な攻撃事例が多く報告されており、
先日他社サービスにおいても大規模な改ざん被害が報告されております。
これを受け弊社では、WordPressのセキュリティ対策として、
国外からのログインを拒否する「WordPress国外IPアクセス制限」機能の対象範囲を拡大するとともに、
ログイン試行回数によるアクセス制限を実施する「ログイン試行回数の制限」機能を追加しました。
併せて、セキュリティの多重化を目的とした
wp-config.phpのパーミッション補正処理を実施いたしました。
詳細につきましては下記をご覧ください。
----------------------------------------------------------------------------------------
■WordPressセキュリティ対策機能の強化
サーバーパネルにおいて、『WordPressセキュリティ設定』メニューを追加し、
下記の機能を追加いたしました。
◆「WordPress国外IPアクセス制限」の対象範囲の拡大
これまで同機能で対応していたWordPress管理ツールURLへの
国外IPアドレスからのWEBアクセスの制限を、
【全てのフォルダ】へと適用範囲を拡大し
『WordPressセキュリティ設定』機能に統合いたしました。
・これまでの制限対象アドレス
/wp-admin
/blog/wp-admin
/wp/wp-admin
/wp-login.php
/blog/wp-login.php
/wp/wp-login.php
・拡大後の制限対象アドレス
wp-admin
wp-login.php
◆ログイン試行回数の制限機能
WordPressの管理領域に対して一定回数以上ログインに失敗したIPアドレスに対し、
アクセス制限を実施する機能を追加いたしました。
◇マニュアル:WordPressセキュリティ設定
■WordPress設定ファイル「wp-config.php」のパーミッション「600」への変更
自動インストールにて新規でインストールされるWordPressおよび
お客様にてインストール済みの全てのWordPressに対して、
wp-config.php のファイルパーミッションを公式推奨値の「600」へと変更いたしました。
通常は644等のパーミッションでも問題になることはございませんが、
セキュリティの多重化を目的としてより安全性を高めるため対応を実施しております。
※パーミッションを変更したことによるプログラムへの影響は通常ございません。
なお、大規模改ざんの原因として他サービスにおいて問題性が指摘されている
FollowSymlinksによる別ユーザファイルの読み込み処理に関して、
当サービスでは別ユーザへのリンクに対して読み込みを制限するシステムを実装済みであり、
また、同様の手口による改ざんの被害は確認されておりませんのでご安心ください。
----------------------------------------------------------------------------------------
WordPressに限らず、旧バージョンのプログラムを利用し続けると既知の脆弱性を突かれ、
不正アクセスの対象となる場合がございます。
セキュリティ上の観点から最新版のプログラムをご利用くださいますようお願いいたします。
弊社では、今後もお客様に安心してサービスをご利用いただけるよう、
機能の改善やセキュリティ強化に努めてまいります。
今後ともエックスサーバーをよろしくお願い申し上げます。
|
上記のエックスサーバーの情報からすれば、エックスサーバーでは、改ざんがなかったようです。
そもそも FollowSymlinks の問題は、サーバー設定の基本らしい(知人が言ってました。)ので、ロリポップ!さんの設定漏れ?による改ざん拡大が疑われるわけです。
また、エックスサーバーの改ざんはなかった・・・というのは、あくまで、同様手口での改ざんがなかったとしていますので、それ以外では、無かったわけでもないと思います。
何事も自己防衛が一番大事です。( 共有レンタルサーバーで WordPressを使う前にセキュリティ強化を図る )
今回のロリポップ!さんの問題は、自己防衛だけでは防ぎきれなかったところに問題の大きさがあります。
他のレンタルサーバーが、少なくとも、先のロリポップ!さんと同様の問題を含んでいないことを祈ります。
関連記事
口コミ・評判
口コミ・評判を投稿 :