とりあえずのWordPress改ざん被害対策 パスワードとパーミッション変更

スポンサーリンク
スポンサーリンク

wordpressセキュリティ

WordPress改ざん被害対策として、ログインパスワードとファイルのパーミッションを変更しました。

単純で推測されやすいパスワードは、WordPressのハッキングや様々なトラブルの原因になるので、必ず変更してください。

スポンサーリンク

ロリポップのハッキング攻撃

ここ数日、ネットニュースの界隈では、ロリポップ!のWordPressユーザを狙った「Krad Xin」と名乗るハッカーによるハッキング攻撃の話題で持ち切りでした。8月30日の時点で被害総数は8438件とのこと。

Screenshot of internet.watch.impress.co.jp

ロリポップ!、WordPress利用サイトで不正アクセスによる改ざん被害 -INTERNET Watch

実際に被害に被害に遭われた方のお話です。うむむ、こりゃ大変だ。

いわしもWordPressのトラブルで突然サイトが表示されなくなったという経験はたくさんあります。ホントに背筋の凍る思いがしますよ。

Screenshot of rikumalog.com

[Я]ハッキング被害に遭いました。ヘコみまくりつつやった調査&作業まとめ : りくまろぐ

WordPressのフォーラムでは、随時ハッキング攻撃に関する状況が報告されています。

Screenshot of ja.forums.wordpress.org

WordPress › フォーラム » サイト改ざん?

いわしはロリポップ!は使っていませんが、とても他人事とは思えません。共有サーバのユーザーなら、いつこのようなことが起こってもおかしくないからです。

安くて便利な共有サーバも、このようなリスクがあるのですねぇ。

WordPressハッキング被害に遭ったサイトは、大体こんな状況になっているようです。

  • 文字コードがUTF-8からUTF-7に変更されている
  • 一般設定の「サイトのタイトル」が「Hacked by Krad Xin」になっている
  • ウィジェットやプラグインがおかしくなる

文字コードが変更されると、サイト全体が文字化けして何なのかわからなくなります。あと、ウィジェットやプラグインがおかしくなると、最悪の場合はサイト全体が全く表示されなくなってしまいます。

突然こんなことになったら、まさしくパニックですね。背筋の凍る思いとはこのことです。

とりあえずのWordPress改ざん対策

いわしはサーバ技術者ではないので、今回の件もある程度までは理解できますが、深い話や技術的な話になるとさっぱりわかりません。

とはいえ、この手の事件は違う共有サーバならいつでも起こりうる話です。とりあえず、何らかの対策をしておかないといけません。

難しいことはひとまず措いといて、技術者でなくても今すぐにできるWordPressのハッキング対策なら、まずはこの2点でしょうか。

  • パスワードを変更する
  • ファイルのパーミッションを変更する

どちらも数分でできますよ。これで同様の被害に遭う確率はかなり下がるはずです。

ロリポップ!じゃなくても、自前のサーバでWordPressを使ってwebサイトを運営されている方は、これだけでもいいからやっておいてください。

スポンサーリンク

とりあえずのWordPress改ざん対策 パスワード変更

以前に、WordPressのデフォルトユーザ名「admin」をそのまま使っているサイトが狙われたことがありました。

最初にWordPressをインストールすると、デフォルトのユーザ名は「admin」になります。世の中にはデフォルトのユーザ名「admin」をこのまま放置している人が多かったようで、このサイトを対象に、あとは総当たりでパスワード解読(ブルートフォースアタック)をかけて、管理画面を乗っ取るという攻撃が多発しました。

一度設定されたユーザ名は後から変更できないので、「admin」はそのまま放置されがちです。たとえ「admin」じゃなくても、推測されやすいものは簡単に見破られてしまいます。

そういったサイトは、パスワードも覚えやすいように、「12345」や「aaaaa」のような簡単なものに設定されていることも多く、この程度なら数分ほどで解読されてしまいます。

さすがに今時ユーザ名が「admin」のままのサイトはあんまりないと思いますが、ユーザ名はともかく、せめてパスワードぐらいは変更しておきましょう。

まずはダッシュボードの左メニュー「ユーザー」から「ユーザー一覧」をクリック。

wordpressユーザー一覧

リストに出てくる自分のユーザ名をクリックします。サイトを複数人で管理している場合は、権限グループが「管理者」と表示されているユーザ名を選択してください。

wordpressユーザ名選択

ここで新しいパスワードを入力します。できるだけ長くて、英数字の混じったものがふさわしいです。まあ、言うのは簡単ですけどねぇ・・・(^_^;

wordpressパスワード変更

変更したパスワードは必ず控えて、忘れないようにしてください。

とりあえずのWordPress改ざん対策 ファイルのパーミッション(属性)変更

続いて、ファイルのパーミッション(属性)変更です。

今回のロリポップ!ハッキング攻撃を受けたサイトは、簡単に言うとwebサーバ上にある重要なファイルが、他人からアクセスできるようになっていたことが1つの原因です。

これを、他人からは一切関与できないように変更します。

では、いわし愛用のFTPクライアント、「FFFTP」を参考に、ファイルのパーミッションを変更してみます。今回属性を変更するのはこの2つです。

  • wp-config.php
  • .htaccess

パーミッションですが、wp-config.phpは400に、.htaccessは604に設定します。

まず、FFFTPを開いて、wordpressをインストールしたフォルダ内にあるwp-config.php上で右クリックします。属性変更を選択して・・・

wordpressファイル属性変更1

「現在の属性」に変更したい数値を入力してください。上のチェックボックスでも選択可能です。

wordpressファイル属性変更2

数値「400」を入力して、OKを押せばパーミッションは変更されます。.htaccessも同様にパーミッションを「604」に変更してください。

他のFTPクライアントも、パーミッションの変更は同じような方法でできると思います。

ところで、パーミッションとは一体何でしょうか?

インターネットの基本機能は、大抵がUNIXのシステムで構築されています。UNIXのシステムは、基本的に複数で管理することが前提になっているので、誰でもファイルを見たり、中身を書き換えたりすることができます。

もちろん、webサーバ上のファイルや画像も同様です。でも、自分のホームページやブログで、他人が勝手にファイルを書き換えたりすると大変なことになってしまいます。

そうならないように、ファイルごとにパーミッション(属性)を変更して、それぞれのファイルを管理する必要があるのです。

パーミッションについては、下記のサイトで詳しく説明されています。

Screenshot of www.tku.ac.jp

パーミッションについて

 

そうそう、パーミッション変更後に重要な点が1つあります。

パーミッション変更後にwp-config.phpを修正する場合は、一度パーミッションを元に戻してから作業をしてください。.htaccessも同様です。

スポンサーリンク

サーバ運用のセキュリティリスク

以上、パスワードの変更とパーミッション変更について説明してみました。

これはあくまでも応急措置で、きちんとハッキング対策するのであればさらなる処置が必要です。

細かく書くとキリがないのでやめておきますが、ホントなら、パスワードを変えるならFTPやデータベースも含めないといけませんし、レンタルサーバが違えば対策も変わります。

さらに言うと、今回の騒動はWordPressのパスワードとは直接の関係はありません。とはいえ、これだけでもやっておけば、同様の被害に遭う確率はかなり下がります。

特に、単純で推測されやすいパスワードは、様々なトラブルや、今回のような騒動の時の2次災害の原因になるので、必ず変更してください。

あとは、バックアップをきちんと取っておけば、ハッキング被害に遭っても復元できるので安心です。

昔に比べると、自前でサーバを運用するためのハードルはかなり下がりました。月に数百円~でサーバを借りることができるなんて夢のような話です。

でも、今回の騒動で明らかになったことは、本来であれば各自で厳重に管理するはずのサーバを万人に広く使えるようにするためには、どこかでセキュリティリスクに目をつぶらないといけない部分が出てくるということです。

パーミッションの設定なんて、普通の人にはわかりませんよね。そんな人たちのために、セキュリティを厳重にしてしまうと、普通の人は何もできなくなってしまいます。

どんなソフトウェアでも、大抵は後から脆弱性やセキュリティホールが見つかります。今回、ロリポップ!以外のサーバでWordPressを運用されてた方は、たまたまラッキーだったのかもしれません。明日は我が身です。

今回の騒動に巻き込まれた場合で最悪なのは、サイトが復旧できなくなるということだと思いますが、バックアップさえあれば、最悪の事態になっても復旧できます。

誰にでも今回のようなリスクはあるのだということを念頭に入れつつ、マメにバックアップを取るようにしてください。

まあ、そうは言っても普通の人にとっては(いわしも含めて)、最低限の対策でさえめんどくさいし、ややこしいのですがねぇ・・・(^_^;

miya0001さんが「ノンプログラマーのためのWordPressセキュリティ入門」というとってもわかりやすいスライドを作成されています。とっても勉強になりますね。miya0001さん、ありがとうございます。

Screenshot of firegoby.jp

ノンプログラマーのための WordPressセキュリティ入門

コメント

タイトルとURLをコピーしました