2013年09月
2013年09月
2013年09月
2013年09月
2013年09月
先月末のロリポップ・ワードプレス大規模ハッキングにおいて
当方のクライアント様サイトが
2つもハッキングされたことを前回の記事に書きましたが、
これら2つのサイトがハッキング前にどういう状態だったかを含めて
ワードプレスサイトはどのような状態にしておくべきか
自戒の覚書として記しておきます。
ハッキング以前、
2つのサイトはIDに「admin」は使用していませんでした。
ログインパスワードも「強」が表示される英数字混合。
英単語としての意味も持たせていません。
WordPress本体も最新バージョンにアップデート済みで、
搭載・利用するプラグインやテーマも最新状態でした。
また、使用していないプラグインは削除済みで
テーマも使っていないものは削除していました。
使用プラグインについてもデフォルトで搭載されがちな
「super cache」でさえ脆弱性の疑いありとして私は使っていませんでした。
configファイルのパーミションは404。
ただ、惜しむらくは
ブラウザから頻繁にphpファイルを加工するため
WAF(Webアプリケーションファイヤーウォール)の設定を無効化していたことと、
データベースの接頭語を「wp_」のままにしていたこと。
サーバー運営会社からはまだ今回の大規模ハッキングについての
明確な原因の公表はなされていません。されるのかもわかりませんが。
初めてのホームページを作ってから今月6日で14年が経過します。
その間様々なサーバーを利用しました。
自前の専用回線や専用サーバー、共用サーバー。
共用サーバーを利用している以上、
今回のような事象は避けられないのかもしれません。
それでもロリポップサーバーを使わざるをえないのは、
一番にコスト。
自社ホームページが財産であるとしても
サーバーをどこまでの機能とコストで落ち着かせるのか。
例えて言うと、
「おたくの会社の金庫は耐火金庫ですか?」
と言う感じ。
数年前までは、サーバー維持費に「年間数万円以上」というのが常識でしたが
昨今の世情や景気を鑑みると「年間数千円で済むものならば」というのも
仕方がないかと。(ショップ機能以外の話です)
格安の共用サーバーで有名どころと言うと、
ロリポップ、ハッスル、さくら、ドメインキング、FC2 Liteなど
月300~500円のところから、もっと安いものもあるようです。
少し話がそれましたが、
例えばWordPressではなく、BaserCMSなどを使っていれば
今回のようなハッキングには遭わなくて済んだのか。
サイト単体で言えばそうでしょう。
しかし、サーバーが共有である以上、直接でなくとも
横道から侵入されちゃう危険性はあるようですね。
そもそも今回のハッキングはWordPressの問題ではなくて
サーバー内の設定の問題だという指摘もあるようですし。
はぁ悩ましい。
それでもWordPressを使い続ける理由はなんでしょう。
というのがタイトルでしたね。
私が初めて触れたブログは、実はレンタルブログでも
WordPressでもなく、MovableTypeでした。
動的なWordPressに対して、静的と表現されることが多いMovableType。
プログラムにそんなに詳しいわけでないのですが、
固定のページに対して記事を書きだすため、更新などでの構築(再構築)が
めんどうで、レンタルブログに乗り換えました。
その後WordPressへ。
WordPressの良さは、
あくまでも私見ですが、
利用価値の高いプラグインの多さと
マニュアル・解説・書籍の豊富さ、でしょう。
「この部分をこうしたいんだけど」と思って検索すると
大抵はヒットする。
例えば、コンタクトフォームやフックをかける、プラグインの豊富さ等々。
それらを駆使しつつデザインを盛り込むと、制作費用がかさむので
どシンプルなテンプレート(テーマ)を提供していますけどネ。
コンテンツの量が莫大であれば、デザインは的確なナビゲーションのみでもいいのかな、と。
(※コンテンツの質は、量が蓄積されれば自ずと上がっていきます。)
というわけで、
WordPressを使い続けるのでした。
サーバーは…。
! おっと書き忘れるところでした。
WordPressをお使いの初心者の方は以下に注意。
※特にロリポップサーバーご利用の方。
▲ログインユーザー名を「admin」にしない。
▲ログインパスワードは意味を成さない英数字混合で「強」になるように。
▲WordPress本体は常に最新バージョンにする。
▲使っていないテーマは削除しておく。
▲使っていないプラグインは削除しておく。
▲プラグインも常に最新バージョンに。
▲あやしいプラグインは使わない。
▲FTP接続ツールで、wp-config.phpファイルのアクセス権限(パーミッション)を
「400」にする。
▲FTPツールで、.htaccessファイルのパーミッションを「604」にする。
▲ロリポップサーバーをお使いの方は、サーバー管理画面の
WebツールからWAF設定を「有効」にする。
▲WordPressダッシュボードのエクスポートからバックアップを頻繁に取っておく。
これくらいしておけば、ハッキングされたりサイトそのものが復活できないほど
改ざんされても、自分のサイトだけはなんとか復旧できるし諦めもつくでしょう。
改ざん後のサイトがよそ様に悪さするようなものだと
ちょっとやっかいですが、それでも抗弁は立つでしょう。か?!
2013年09月
うちのメイン商材は、WordPressを利用した簡易CMSブログ型ホームページ。
しかも2年ほど前から推奨サーバーをロリポップにしていたので
今回のハッキング騒動は大打撃である。
なにせ他サーバーからロリポップへの乗り換えが
全てのクライアント様で完了していたし、
WordPressで制作したサイトが20件近くあるのだから。
というか実際にクライアント様サイトが
ハッキングされてしまった。2件も。
基本的な対処策を施していたにもかかわらずだ。
ロリポップ側の発表が信頼できるものかどうかは別として
WordPressそのものやプラグインの脆弱性をついたのは発端に過ぎず、
サーバー内のファイル設定に起因して、
横断的かつ爆発的に被害が拡大した様相である。
なんと8400サイト超のハッキングが確認されたようだ。
起こってしまったことは仕方がない。
とにかく対処しなければ! という月末でした、8月末は。
応急措置の覚書
①文字コードを訂正
本来UTF-8という文字コードのはずが、
UTF-7に改ざんされているので、その訂正。
設定>表示設定>UTF-7→UTF-8へ。
(ウィジェットにスクリプトを書き込むのにクロスサイトスクリプティングで注入するためか?)
②タイトルと説明文を訂正
設定>サイト名と説明文を修正。
訂正前にエクスポート作業をすると取得(ダウンロード)できるxmlファイルがハッキングされた表示のままなので、上記訂正をした後、エクスポートする。
③ウィジェットに読み込みエラーを誘うスクリプトが埋めてあるので削除する。
全てのウィジェットが改ざんされている模様。
④ロリポップサーバーの管理画面のWebツールからWAF(Webアプリケーションファイヤーウォール)設定が有効化になっているかをチェックする。
⑤wp-config.phpファイルのパーミションを400にする。
.htaccessのパーミションを604にする。
⑥WordPressのログインIDとパスワードを変更する。
IDは変更できないので、新たにユーザーを作って記事移譲。
⑦WordPressのデータベースのパスワードを変更し、
wp-config.php内のデータベースパスワードも合わせて変更する。
この時点で、⑤のwo-confid.phpと⑦については、ロリポップ側で作業が成されたようなので割愛。
とは言え、ハッキングで侵入されたのは気持ちが悪いので、
領域を変えてWordPressそのもののインストールをやり直したいところだ。
2013年09月28日
2013年09月24日
シュシュと武雄市立図書館で連休終わりっ
安近短で済ませてしまうことが多い近頃、
二度の連休もサクっと終わってしまいました。
娘がアイスを食べたいと言うので、
大村のシュシュに出かけ アイスとパンを食べて
その足で444号線をドライブしたついでに話題の武雄市立図書館へ。
最近なにかとシュシュでごまかしているような気もします。
いや。シュシュも美味しいんですけどネ。
次はハウステンボスのサイラーに行きたい。(って またパンか)
二度の連休もサクっと終わってしまいました。
娘がアイスを食べたいと言うので、
大村のシュシュに出かけ アイスとパンを食べて
その足で444号線をドライブしたついでに話題の武雄市立図書館へ。
最近なにかとシュシュでごまかしているような気もします。
いや。シュシュも美味しいんですけどネ。
次はハウステンボスのサイラーに行きたい。(って またパンか)
2013年09月06日
格安は格安なりなのでしょうか、サーバー
先だってのロリポップ・WordPress大規模ハッキングから
まだ余韻冷めやらぬ日々です。
移転先のレンタルサーバーも探しているのですが、
一度ここまで格安に下げて設定してしまうと、
高いサーバーへの乗り換えはなかなか進まない。
エックスサーバーもよさそうですが、
ロリポップのロリポプランあたりの価格帯(月々300円前後)で
データベース1つ以上。
PHPも当然使えて、管理画面が使いやすい。
となるとなかなか容易に見つかりませんね。
月額1,000~2,000円くらいだとちょっとはましなようですけれどね。
スポンサードリンク
スポーツ選手の外傷・障害の治療、トレーニングのご相談を承ります。長崎県佐世保市【大宮町整骨院】
まだ余韻冷めやらぬ日々です。
移転先のレンタルサーバーも探しているのですが、
一度ここまで格安に下げて設定してしまうと、
高いサーバーへの乗り換えはなかなか進まない。
エックスサーバーもよさそうですが、
ロリポップのロリポプランあたりの価格帯(月々300円前後)で
データベース1つ以上。
PHPも当然使えて、管理画面が使いやすい。
となるとなかなか容易に見つかりませんね。
月額1,000~2,000円くらいだとちょっとはましなようですけれどね。
スポンサードリンク
スポーツ選手の外傷・障害の治療、トレーニングのご相談を承ります。長崎県佐世保市【大宮町整骨院】
2013年09月03日
それでもワードプレスの利用をやめられないワケ
先月末のロリポップ・ワードプレス大規模ハッキングにおいて
当方のクライアント様サイトが
2つもハッキングされたことを前回の記事に書きましたが、
これら2つのサイトがハッキング前にどういう状態だったかを含めて
ワードプレスサイトはどのような状態にしておくべきか
自戒の覚書として記しておきます。
ハッキング以前、
2つのサイトはIDに「admin」は使用していませんでした。
ログインパスワードも「強」が表示される英数字混合。
英単語としての意味も持たせていません。
WordPress本体も最新バージョンにアップデート済みで、
搭載・利用するプラグインやテーマも最新状態でした。
また、使用していないプラグインは削除済みで
テーマも使っていないものは削除していました。
使用プラグインについてもデフォルトで搭載されがちな
「super cache」でさえ脆弱性の疑いありとして私は使っていませんでした。
configファイルのパーミションは404。
ただ、惜しむらくは
ブラウザから頻繁にphpファイルを加工するため
WAF(Webアプリケーションファイヤーウォール)の設定を無効化していたことと、
データベースの接頭語を「wp_」のままにしていたこと。
サーバー運営会社からはまだ今回の大規模ハッキングについての
明確な原因の公表はなされていません。されるのかもわかりませんが。
初めてのホームページを作ってから今月6日で14年が経過します。
その間様々なサーバーを利用しました。
自前の専用回線や専用サーバー、共用サーバー。
共用サーバーを利用している以上、
今回のような事象は避けられないのかもしれません。
それでもロリポップサーバーを使わざるをえないのは、
一番にコスト。
自社ホームページが財産であるとしても
サーバーをどこまでの機能とコストで落ち着かせるのか。
例えて言うと、
「おたくの会社の金庫は耐火金庫ですか?」
と言う感じ。
数年前までは、サーバー維持費に「年間数万円以上」というのが常識でしたが
昨今の世情や景気を鑑みると「年間数千円で済むものならば」というのも
仕方がないかと。(ショップ機能以外の話です)
格安の共用サーバーで有名どころと言うと、
ロリポップ、ハッスル、さくら、ドメインキング、FC2 Liteなど
月300~500円のところから、もっと安いものもあるようです。
少し話がそれましたが、
例えばWordPressではなく、BaserCMSなどを使っていれば
今回のようなハッキングには遭わなくて済んだのか。
サイト単体で言えばそうでしょう。
しかし、サーバーが共有である以上、直接でなくとも
横道から侵入されちゃう危険性はあるようですね。
そもそも今回のハッキングはWordPressの問題ではなくて
サーバー内の設定の問題だという指摘もあるようですし。
はぁ悩ましい。
それでもWordPressを使い続ける理由はなんでしょう。
というのがタイトルでしたね。
私が初めて触れたブログは、実はレンタルブログでも
WordPressでもなく、MovableTypeでした。
動的なWordPressに対して、静的と表現されることが多いMovableType。
プログラムにそんなに詳しいわけでないのですが、
固定のページに対して記事を書きだすため、更新などでの構築(再構築)が
めんどうで、レンタルブログに乗り換えました。
その後WordPressへ。
WordPressの良さは、
あくまでも私見ですが、
利用価値の高いプラグインの多さと
マニュアル・解説・書籍の豊富さ、でしょう。
「この部分をこうしたいんだけど」と思って検索すると
大抵はヒットする。
例えば、コンタクトフォームやフックをかける、プラグインの豊富さ等々。
それらを駆使しつつデザインを盛り込むと、制作費用がかさむので
どシンプルなテンプレート(テーマ)を提供していますけどネ。
コンテンツの量が莫大であれば、デザインは的確なナビゲーションのみでもいいのかな、と。
(※コンテンツの質は、量が蓄積されれば自ずと上がっていきます。)
というわけで、
WordPressを使い続けるのでした。
サーバーは…。
! おっと書き忘れるところでした。
WordPressをお使いの初心者の方は以下に注意。
※特にロリポップサーバーご利用の方。
▲ログインユーザー名を「admin」にしない。
▲ログインパスワードは意味を成さない英数字混合で「強」になるように。
▲WordPress本体は常に最新バージョンにする。
▲使っていないテーマは削除しておく。
▲使っていないプラグインは削除しておく。
▲プラグインも常に最新バージョンに。
▲あやしいプラグインは使わない。
▲FTP接続ツールで、wp-config.phpファイルのアクセス権限(パーミッション)を
「400」にする。
▲FTPツールで、.htaccessファイルのパーミッションを「604」にする。
▲ロリポップサーバーをお使いの方は、サーバー管理画面の
WebツールからWAF設定を「有効」にする。
▲WordPressダッシュボードのエクスポートからバックアップを頻繁に取っておく。
これくらいしておけば、ハッキングされたりサイトそのものが復活できないほど
改ざんされても、自分のサイトだけはなんとか復旧できるし諦めもつくでしょう。
改ざん後のサイトがよそ様に悪さするようなものだと
ちょっとやっかいですが、それでも抗弁は立つでしょう。か?!
2013年09月02日
ロリポップに設置したワードプレスがハックされた事後処理の覚書
うちのメイン商材は、WordPressを利用した簡易CMSブログ型ホームページ。
しかも2年ほど前から推奨サーバーをロリポップにしていたので
今回のハッキング騒動は大打撃である。
なにせ他サーバーからロリポップへの乗り換えが
全てのクライアント様で完了していたし、
WordPressで制作したサイトが20件近くあるのだから。
というか実際にクライアント様サイトが
ハッキングされてしまった。2件も。
基本的な対処策を施していたにもかかわらずだ。
ロリポップ側の発表が信頼できるものかどうかは別として
WordPressそのものやプラグインの脆弱性をついたのは発端に過ぎず、
サーバー内のファイル設定に起因して、
横断的かつ爆発的に被害が拡大した様相である。
なんと8400サイト超のハッキングが確認されたようだ。
起こってしまったことは仕方がない。
とにかく対処しなければ! という月末でした、8月末は。
応急措置の覚書
①文字コードを訂正
本来UTF-8という文字コードのはずが、
UTF-7に改ざんされているので、その訂正。
設定>表示設定>UTF-7→UTF-8へ。
(ウィジェットにスクリプトを書き込むのにクロスサイトスクリプティングで注入するためか?)
②タイトルと説明文を訂正
設定>サイト名と説明文を修正。
訂正前にエクスポート作業をすると取得(ダウンロード)できるxmlファイルがハッキングされた表示のままなので、上記訂正をした後、エクスポートする。
③ウィジェットに読み込みエラーを誘うスクリプトが埋めてあるので削除する。
全てのウィジェットが改ざんされている模様。
④ロリポップサーバーの管理画面のWebツールからWAF(Webアプリケーションファイヤーウォール)設定が有効化になっているかをチェックする。
⑤wp-config.phpファイルのパーミションを400にする。
.htaccessのパーミションを604にする。
⑥WordPressのログインIDとパスワードを変更する。
IDは変更できないので、新たにユーザーを作って記事移譲。
⑦WordPressのデータベースのパスワードを変更し、
wp-config.php内のデータベースパスワードも合わせて変更する。
この時点で、⑤のwo-confid.phpと⑦については、ロリポップ側で作業が成されたようなので割愛。
とは言え、ハッキングで侵入されたのは気持ちが悪いので、
領域を変えてWordPressそのもののインストールをやり直したいところだ。