カテゴリー
WordPress

WordPress に BulletProof Security を入れてみた。

The same article in English
投稿アップデート情報  追記(12/2)~~追記4(2014/7/14)  追記5(7/16)

 WordPress のセキュリティ強化のために「BulletProof Security」というプラグインを入れてみた。インストールは簡単だが,有効化するについては,いくつか気を付けたほうがいいところがある。

  1. Network / Multisite 上で使用可能なプラグインだが,「ネットワークで有効」にしてはいけない。「ネットワークで無効」のまま,親サイトでだけ有効にする。
  2. BulletProof Security は .htaccess を使うので,当然ながら,サイトの .htaccess が書き換えられてしまう。前もって, WordPress ルートと wp-admin 内の .htaccess をバックアップしておこう。
  3. .htaccess を利用するので, BulletProof Security が自分の WordPress で使えるかどうかは,サーバのコンフィグ次第ということだ。うちの場合だと,途中でエラーが出たので, Apache のログを見て, httpd.conf の <Directory> にある AllowOverride ディレクティブOptions=Indexes を付け加えた。

 ところで, BulletProof Security のページで, Sucuri SiteCheck Scanner を見つけたので,スキャンしてみた。怖いものは見つからなかった。まあ,「Sucuri SiteCheck は無料のリモートスキャナです。できる限り正確な情報をお届けできるように努めていますが,スキャン結果に間違いがないことを保証するものではありません。」てスキャンのサイトに書いてあったけど,それは当たり前のことだから。

追記(12/2):
 なんか ‘Broken Link Checker’ プラグインが下記のメールをくれましてん。自ブログの存在するファイルのことなので,ビックリ。

   Broken Link Checkerは、あなたのサイトに新しいリンク1がリンクエラーと検出されました。
   リンクエラーの一覧 :
   リンク テキスト: Asus ,HCL X51C (T12C) Motherboard schematic
   リンクのURL : /blog-j/files/Asus_HCL_X51C_(T12C).pdf
   ソース : ノートをWin8 Proにアップグレード。
   すべてのリンクエラーを見ることができます: http://ダッシュボードのツールの URL

 何で,どうして??? 10/16 にアップロードしてから全然変えてないし,とか思って,ブラウザからアクセスしたら,別のエラーが出た。こんなの:
   o6asan.com 403 Forbidden Error Page
   If you arrived here due to a search or clicking on a link click your Browser’s back button
   to return to the previous page. Thank you.

 調べたてみたら, ‘BulletProof Security’ プラグインが吐くものだった。さらに調べて ‘BulletProof Security’ は,ファイル名に ( ) があると拒否する設定になっていることがわかった。何かセキュリティ上でまずいことでもあるのかな。

 安直に, Asus_HCL_X51C_(T12C).pdf を Asus_HCL_X51C-T12C.pdf に変えて解決 (^_^;)。

追記2(12/3):
 早速,Version:.49.7 へのアップデートがあり,使えないと書いたばかりの「ネットワークで有効」ができるようになった。もちろん,前のままの方式でも使える。
 追記(12/2)の補足だが,ファイル名に半角空白が入っているのもダメなようだ。

追記3(12/4):
 なんか毎日ここに追記書いてるよー(苦笑)。 ‘BulletProof Security’ 君,今度は,わがサイトの Flash Movie をブロックしてやんの。お蔭さんで,高住神社のなんかで,「ムービーが未ロード」とか出た。ご本尊の Adobe Flash Player がらみでもよくある話なんで,疑っちゃったじゃないの,今回は無実なのに-ハハ。
 解決方法は, Flash swf 403 error – Flash slideshow blocked で,どんぴしゃり。 Root の .htaccess に我が家の swf を足してやった。こんな感じ。太字のイタリックですね。
   RewriteRule .* index.php [F,L]
   RewriteCond %{REQUEST_URI} (flvplayer.swf|timthumb.php|~~|thumbs.php) [NC]

追記4(2014/7/14):
 最近気づいたんだが,サーバのログにかなりな数の 500 Internal Server Error が出ていた。しょっぱなの見た目では, font-face の IE 用ハックのせいに見えた。しかし,最終的にわかったのは, BPS の .htaccess の フィルターから来ているということだった。 URI の最後に ? があるとまずいようだった。それで, WordPress 日本語フォーラムと BulletProof Security Free フォーラムに相談に行った。おかげで,無事,解決。パチパチ!!

 より詳しい話は,相談先の下記2サイトをご覧ください。
   IE11(Win8.1),IE10(Win7)で,アクセスしたとき,font.eotについてエラーがでる。
   font-face 500 Internal Server Errors

追記5(7/16):
 我が家の http_error_log.txt には,うちのサイト関連の 403 Forbidden Error がズラッと並んできた。 Broken Link Checker が HEAD メソッドを使うせいである。 Broken Link Checker が HEAD メソッドを使うんだということは 2012.12.29 の TODOS の話題で知っていたが,両プラグインとも使い続けたかったので,あきらめて事態を受け入れていた。どうすりゃいいのか,わかんなかったし(爆)。

 ところが,今回 500 Internal Server Error の件で, .htaccess を覗いていて,下記の文言を発見。ワォッ!!
# REQUEST METHODS FILTERED
# This filter is for blocking junk bots and spam bots from making a HEAD request, but may also
# block some HEAD request from bots that you want to allow in certain cases. This is not a
# security filter and is just a nuisance filter. This filter will not block any important bots
# like the google bot. If you want to allow all bots to make a HEAD request then remove HEAD
# from the Request Method filter.
# The TRACE, DELETE, TRACK and DEBUG request methods should never be allowed against
# your website.
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK|DEBUG) [NC]
RewriteRule ^(.*)$ - [F,L]

 これって,こっから, HEAD を消しちゃっていいってことだよね?早速,ルートの .htaccess から HEAD を消した。 wp-admin のほうは,そのまま。 Broken Link Checker はここで HEAD をやる必要ないからネ。

 思惑通り,ことは進んでいる (*´▽`*)。

カテゴリー
WordPress

Akismet 停止。

The same article in English

 出先から戻って, WordPress のコメントをチェックしたら, Akismet がエラーを吐いてて,ビックリ。おたおたして,ネットで解決策を探してるうちに,何もしないのに,ヤツは普通に動き出した。 Akismet blog によれば, API outage – November 28th なんだってサ。というわけで,今日のエラーは私のせいじゃなかったのネー。ああ,よかった。 Akismet 君,脅かすんじゃねーよ,メッ!!

 ところで,本日昼前,初雪でしたワ。すぐに止んだけど。ワーーーォ。

カテゴリー
WordPress

本家のお世話-#83。(WordPress3.7.x の ca-bundle.crt について)

The same article in English
投稿アップデート情報  追記(11/9)  追記2(2014/1/30)  追記3(5/6)  追記4(6/22)

 前に, WordPress3.7 から追加された ca-bundle.crt のことを記事にした。

 これについては,英語ブログのほうで, Oiram が有用な情報をコメントしてくれた。もし,同じ注意 “注意: https://MySiteName の更新の際、問題が発生しました。サーバーがサイトに接続できないかもしれません。エラーメッセージ: SSL certificate problem: self signed certificate in certificate chain” が出る方がいたら, “Error upgrading WordPress (SSL) PDF版” にある彼の回避策を試してみてください。「 ca-bundle.crt に自分が使っている CA の ルート証明書情報を書き加えてやる」という方法です。

 改めて考えてみると,うちの場合は, Oiram のところと少し事情が違っていたように思う。自鯖ではいまだに彼の回避策を使っていないのだが, WordPress3.7.1 にアップデートしたときは注意が出なかったし, SSL 認証もその後は問題なく動いている。

 自鯖の環境が特殊だから,彼の場合とは事情が異なるのかもしれない。

 というわけで,いまだに以下の2つを疑問に思っている。

  1. マルチサイト上には,親が1つと子が3つあるのに,何だってひとつにだけ「注意」が出たのだろうか。 ca-bundle.crt についての設定は, class-http.php 中にあるようだから,4つともに同じように影響するとしか思えないのだが。ひとつにだけ注意が出たわけがわからない。
  2. 現時点で,うちの SSL は普通に動いているようなのだが,その場合でも Oiram の回避策をやる必要があるのだろうか。

追記(11/9):
 英語ブログのほうで, Oiram から,新たなコメントをもらった。彼も,7つあるサイトのうちのひとつについてのみ,「注意」が出たそうだ。彼の場合は, 3.7.1 でも同じように出たらしい。で,彼は SSL 認証が自動アップデートに関連しているのではないかと考えているようだ。彼の言う autoupdates が,新しくできたバックグラウンドのものを指しているのかどうかは,確認していない。前からある自動アップデートのことだったら,うちの場合, SSL 認証とは関係ないことがわかっている。日本語版が更新ページに現れないのは, SSL 認証を使い始める前からの話だからだ。しかし,話の流れからして,多分,新しいバックグラウンドでのアップデートの話だろうと思う。

 3.7.1 のときに,新しいバックグラウンドでのアップデートを試してみるつもりだったのだが,うっかり,ボタンをポチッとやってしまったので,次回は忘れずに試すつもり。一応,更新時のサイトのメッセージでも, Background Update Tester でも,バックグラウンドでのアップデートは可能になっていた。

追記2(2014/1/30):
 1月3日以来 Oiram のサイトに接続できない。 ca-bundle.crt で検索して来られる方もおられるので, Oiram が書いてたものを PDF 版で載せておく。「Error upgrading WordPress (SSL)

追記3(5/6):
 今日ようやく久しぶりに, Oiram のサイトに接続できた。

追記4(6/22):
 WordPressでの「SSL3_READ_BYTES:sslv3 alert handshake failure」を解決というのを書いた。

カテゴリー
WordPress

本家のお世話-#81。(WordPress3.7へアップグレード)

The same article in English
投稿アップデート情報  追記  追記2(10/28)  追記3(11/5)  追記4(2014/6/6)

 WordPress 3.7 “Basie” の本家版が 10 月 24 日に出たので、日本語版を待っていたのだが,先ほど出た。アップグレードということで, WordPress Codex 日本語版 Version 3.7 ももう出ている。

 いつものことだが,マルチサイトの親の言語のせいか日本語版のアップデート情報が表示されない。 wordpress-3.7-ja.zip をマニュアルダウンロードして,アップグレード。

 wp-includes フォルダに certificates フォルダが増えていた。中には, ca-bundle.crt が一枚だけ。中をのぞいてみたら, Mozilla からのようだ。以下のようなことらしい。
————————————————————————————————————————–
  ##
  ## ca-bundle.crt — Bundle of CA Root Certificates
  ##
  ## Certificate data from Mozilla as of: Sat Dec 29 20:03:40 2012
  ##
  ## This is a bundle of X.509 certificates of public Certificate Authorities
  ## (CA). These were automatically extracted from Mozilla’s root certificates
  ## file (certdata.txt). This file can be found in the mozilla source tree:
  ## http://mxr.mozilla.org/mozilla/source/security/nss/lib/ckfw/builtins/certdata.txt?raw=1
  ##
  ## It contains the certificates in PEM format and therefore
  ## can be directly used with curl / libcurl / php_curl, or with
  ## an Apache+mod_ssl webserver for SSL client authentication.
  ## Just configure this file as the SSLCACertificateFile.
  ##
————————————————————————————————————————–

 今回のアップグレードにおいて,エラーはなかったが, “o6asan’s netradi” について,以下のような注意が出た。

  注意: https://MySiteName の更新の際、問題が発生しました。サーバーがサイトに接続できない
  かもしれません。エラーメッセージ: SSL certificate problem: self signed certificate in certificate chain

 しかし,アクセスできるし。 “SSL certificate: self signed certificate in certificate chain” ということでは,全サイト同じなんだが, o6asan’s netradi では streaming server を使っているせいだろうか。新バージョンの WordPress には,上記のように, “Bundle of CA Root Certificates” がついた。ということは,これを使って証明書を作り直すべきかなあ。今のところ,未着手。詳しい方がいらっしゃったら,ご教示ください。

 まっ,とにかく完了。

追記:
 少し気になっている version3.7 の新機能がある。自動アップデートのことだ。しかし,まあ大丈夫かなとも思っている。自動アップデートはメンテナンス&セキュリティリリース用だから,そんなマイナーアップデートでは,日本語版とグローバル版とで違いはないから自動更新されても,多分無問題だろう。

追記2(10/28):
 書き忘れ。 xrea の s370 と @pages の www39 でもアップグレードした。両方とも,全く問題なし。 @pages の www39 は前回あたりから,早くなったよ。

追記3(11/5):
 ca-bundle.crt について新記事を書いた。

 ところで,もし, “注意: https://MySiteName の更新の際、問題が発生しました。サーバーがサイトに接続できないかもしれません。エラーメッセージ: SSL certificate problem: self signed certificate in certificate chain” という注意の出る方がいたら, Oiram の回避策 PDF版を試してみてください。英語ブログのほうで,彼に情報をもらいました。

追記4(2014/6/6):
 WordPressでの「SSL3_READ_BYTES:sslv3 alert handshake failure」を解決というのを書いた。

カテゴリー
WordPress

今更ながらのアクセス制限-#2。

The same article in English

 半年くらい前に,こんな記事を書いた。 wp-login.php に対するアクセス制限の話だ。その後, SSL を有効にして,モバイルアクセスもできるようにしていたのだが,本日,また少し変更した。

 あのときに作った, access-denied.conf を開けて以下のように変更した。見ていただくと分かるように, wp-login.php と同じ制限を wp-admin にも加えたわけだ。

旧:
<Files “wp-login.php”>
  Require ip xxx.xxx.xxx.xxx/xx  <<--- 自宅LANのIPアドレス   Require host モバイルのホスト名 </Files> 新: <Files "wp-login.php">   Require ip xxx.xxx.xxx.xxx/xx  <<--- 自宅LANのIPアドレス   Require host モバイルのホスト名 </Files> <Directory "drive_DC:/WEB/htdocs/wp-admin">  <<--- drive_DC:/WEB/htdocs/ は自鯖のドキュメントルート   Require ip xxx.xxx.xxx.xxx/xx  <<--- 自宅LANのIPアドレス   Require host モバイルのホスト名   <Files "wp-admin-ajax.php">     Require all granted   </Files> </Directory>  このルールから, admin-ajax.php を外しているのは,「Re: WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目」に書いてあったからだが,実際に調べてみると,我が家のプラグインのいくつかも, wp_ajax_(action) フックを使用していたので,前もって, wokamoto さんのメモに気づいていてよかったと思った。でなかったら,きっと,ハマりまくっていたことだろう。

 変更は,ちゃんと効いている。メデタシ。 (^^)

カテゴリー
WordPress

本家のお世話-#77。(WordPress3.6.1へアップデート)

 2・3日前に, WordPress 3.6.1 メンテナンスとセキュリティのリリースが来てたんでアップデートをやったんだが,ついでに, xrea の s370 と @pages の www39 でもアップデートしたら, @pages の www39 のほうで少し様子が変わっていた。

 しょっぱな,アクセスしたら,「データベース接続確立エラー」が表示されて,えっ。
 考えてみたら,この間うちから,【@PAGES】【お詫び】ユーザ情報流失に関するお知らせ 2013.08.28【@PAGES】【お詫び】ユーザ情報流出に関するお知らせ【第2報】2013.08.29 ナンチャラがあったときに,「データベースのパスワードも変えておいたほうがいいですよ」と言われて,パスワード変更したのに, wp-config.php の中の記述を変えてなかったんだった。テヘヘッ。
 それを直したら,当然ながらあっさり,O.K.

 ダッシュボードに入ったら,上部に「WordPress の自動更新に失敗しました。再度、更新を行ってみてください。」メッセージが出ていて,「なんだろう」と思ったが,まずは溜まっていたプラグインの更新を先に行った。いつも失敗する Jetpack の更新もスンナリ。ホーッと,思ったので, WordPress3.6.1 の自動更新をやってみたら,データベースアクセスのための設定がいらなくなっていた。しかも,あっさり,更新完了。

 ここにいたって,「なるほどな」と思った。  @pages の www39 においては,今後, WordPress 本体の更新はサーバ側がやってくれるということなんだろう。今回は,「データベース接続確立エラー」が出るような状態だったので,「WordPress の自動更新に失敗しました。再度、更新を行ってみてください。」が出たわけだ。この推測,間違っていないよね。

 ロリさんのことなんかも関係あるんだろうか。それとも,以前から計画済みだったのか。セキュリティ面からいうといい話だが,ブログが動かなくなっちゃったりするユーザがいたりして,サポートが大変だろうな。でもまぁ,その辺をきっちりやっていくのは,今後の生き残りのためには,大事なことなんだろう。一ユーザとして,陰ながら,ご健闘をお祈りいたします。

カテゴリー
WordPress

本家のお世話-#76。(WordPress SSL ログイン-#3)

The same article in English

 「WordPress SSL ログイン-#2」の設定をしたときに,「define( ‘FORCE_SSL_ADMIN’, true );」は使わなかった。あの時点でのサーバ機は LaVie PC-LC5505D で,ちょっと過重かなと思ったからだ。

 今朝, Ajax Edit Comments Version 5.0.30.0 のアナウンスがあったのだが,その Changelog

Fixing SSL error when FORCE_SSL_ADMIN is set to true. See trac ticket: http://buddypress.trac.wordpress.org/ticket/4761

というふうに書いてあった。そのせいで,「define( ‘FORCE_SSL_ADMIN’, true );」を使っていなかったことを思い出した。ちかごろ世上を賑わしたセキュリティ関係のゴタゴタもあるし,ちょっと触っとくかと……

 で, wp-config.php を開けて,「define( ‘FORCE_SSL_LOGIN’, true );」行をコメントアウトし,その下に,「define( ‘FORCE_SSL_ADMIN’, true );」行を追加した。

 この後で,管理画面にアクセスしたら,証明書を要求されるようになった。動きもそんなに遅くなったようにも思えないが,読みに来る方の体感はどうだろうか。

 phpMyAdmin4.0.6 になっていたので,ついでにそれもやっておいた。

カテゴリー
WordPress

起きてびっくり,サイト改竄? at よそ様-続々報。

 徳丸さんが関連記事(新規での投稿時刻は 9:48 のようである)を書いている。表題はそのものずばり。「ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策」。

 この中で,徳丸さんは hissy さんが,個人的な見解の中で, “symlink, mass deface” と書いておられたことの具体的手法だろうと,私が思ったことについて,詳しく書いてくださっている。

 しかし, WordPress を使う場合 mod_rewrite がいるから, FollowSymLinks は必須だ。ということは, 共有サーバの場合,ここを必ず SymLinksIfOwnerMatch にしておけばいいということなのか。うちの場合,ユーザは私ひとりなので,ドキュメントルートの Options はデフォルトのままで, AllowOverride のほうは,デフォルトの None から FileInfo Indexes Limit に変更してある。 .htaccess で使うためだ。

 LINUX を使ったときにシンボリックリンクとは便利なものだと思ったが,元来は UNIX 由来のものだろうと思う。メインフレームしか存在しなかったような時代においては,今のように不特定多数のしかも初心者に近いような人間がネット上で使用するようなことは想定外だったろうから,そのころのゆるさが残ってしまっているのだろう。

 なんちゅうか,自分の住んでいるところの郵便局と,西部劇の新開地の銀行を比べてみているのような気分になってきた。

 自鯖の環境を振り返ってみて,上記の件も大丈夫かなという気になってきたところである。ところで, WordPress をお使いの同好の士は,環境を最新に保つようにがんばりましょう。今回, timthumb.php の脆弱性が利用されたのであれば, timthumb.php を開発している方たちはがっくり来てると思うよ。「俺たちの努力は何だったんだ」って。まっ,何の分野でもよくある話だけどね,ありがたくないことに(爆)。

カテゴリー
WordPress

起きてびっくり,サイト改竄? at よそ様-続報。

 いろいろ,情報が出ているようだが,ロリさんからの詳細情報は,われわれが利用できるような意味では(具体的にどのファイルのどの脆弱性を使われたとか,サーバのどの穴を突かれたとか ― 望むほうが無理かいな),詳細には出ていないようだ。しかし,状況としては少し落ち着いてきたのだろうか。

 hissy さんが今時点(朝8:55ごろ)での見解をまとめられていて,参考になるのでリンクを貼っておく。これ

 もし, timthumb.php が狙われたとすれば,脆弱情報を入手しての更新がいかに大切か,実感できると思う。私が, timthumb.php の脆弱性に触れたのは,調べてみたら 2011.08.05 のことだった。丸2年前には,アップデートが配布されているわけだから,この既知の脆弱性が残っていたとすれば,これが2年間手当てされていなかったことになる。ロリさんところのような形態のサーバでは,そういうユーザもかなりいるのかもしれない。しかし,これだけだとそのサイトだけ話になるから,他ソフトの脆弱性やサーバの不備を突かれて,これを踏み台に使える方法を見つけられてしまったということなのか。サーバの脆弱性を付かれたと言うことになれば,これはホスティングサービス側の責任が大きいだろう。フリーで気楽に使えるレンタルとなれば,『そういうユーザ』が多くなるのは止むを得ないから,ホスティング側がしっかりしないといけないわけだが,職場として考えたとき,そういう運営をする場合は,優れた技術者を集め最新のインフラを維持するようなコストはかけられないだろうな,と思ってしまう。
 必然的に,サーバ群のセキュリティが,低いまま残っていく,ということになるのかもしれない。

 ところで,うちの Apache の8月のログにも
  ”GET /~/cybercrime.php HTTP/1.1″
なるものが,21日分に残っている。しかし, Error AH00127: Cannot map GET が戻っているので,問題なかったのだろう。ちなみに, Apache のログから /cybercrime.phpが見つかったのは, 2011.4 から今まででこの日だけだった。

 /w00tw00t.at.ISC.SANS.DFind:) とか 0w131 とか phpMyAdmin がらみとかは,よく見かけるんだけどナ。

 そういえば,ほかに uploadify.php の脆弱性にも触れたことがある。このときは,これがらみで「PHP/WebShell.A.1[virus]」が送り込まれてきたようだった。関連の脆弱性がなかったせいか事なきを得たわけだが,なんによらず,素人の自鯖運営者としては,「この間書いたように『新しいものは,気づかれない大穴があるということもあるが,それ以上に古い既知の穴のほうが怖いよというのが,最近のスタンスと思われる。』という姿勢で行くしかないのかなぁ」と思った今回のロリさん達の事件であった。

カテゴリー
WordPress

起きてびっくり,サイト改竄? at よそ様。

投稿アップデート情報  追記

 昨朝,起きて WordPress の日本語ブログのダッシュボードに入って,びっくり。フォーラムのところに,なんと,「サイト改ざん?」の文字が乱舞している。

 いや,うちではないです。よそ様です。フォーラムに初投稿がされたのは一昨日のようだが,一昨日は,芋虫くんにかまけていて,気づかなかった。まぁ,昼からは,いろいろリアルも忙しかったし。

 昨日も昨日で,朝あらかた読んで,ひとまずうちには影響がなさそうなので,予定通りでかけてしまった。(汗)

 しかしねぇ,テストサイトに使っている atpages から,一昨日こういう連絡が来たばかりだったし,
 【@PAGES】【お詫び】ユーザ情報流失に関するお知らせ 2013.08.28
さらに昨日はこれが来たので,
 【@PAGES】【お詫び】ユーザ情報流出に関するお知らせ【第2報】2013.08.29
いずこも同じようなことがあるのかなと思ったわけだ。上記の事件と同じようなといわれたら, atpages は心外かもしれないが……幸いにして,狙われなかっただけ,という気もする。
 今のところ,「ロリポップサーバーでサイト改ざんハッキング被害に遭った方への情報」から跳べる「ロリポップサイト改ざん関連情報 (2013年8月)」を読んでも,はっきりとした原因はわからないわけだが,いろんなことで似たり寄ったりかなと思う。(爆)

 「Hacked by Krad Xin」でググると,表題にこの文字列が入ったものすごい数のサイトが現れる。上記の事件の発端が一昨日だから,事件関連の記事も多いわけだが,それを除いても(年月日設定を去年1年とかしても,ということ),すごい数だ。これって,要するにスクリプトを仕組まれているんじゃないのか?

 フォーラムの話の中に,
> 一般設定のサイトタイトルがHacked by Krad Xinとなっていたのを元のサイト名に戻しました
てのがあるからねぇ。

 今回のクラックはある意味,性がいいかも知れないとか思った。だってね,一番初めに投稿した方が書いているように,クラックされたサイトで文字化けがあったわけだ。そうすると,変だなぁって,気づくよね。「深く静かに潜航」するほうが,たちが悪い。ダメージが一緒なら,早く気づけるほうが手当ても早いわけだから,不幸中の幸いだよ。「Hacked by Krad Xin」でググったときに出てくるサイトのほとんどは,気づいてないのではなかろうか。

 まぁ,「ロリポップ」では,昨年から, WAF が標準装備って謳っていたみたいだけど,あんまり役立てられていなかったようだね。徳丸さんが,「ロリポップ上のWordPressをWAFで防御する方法 」を書いているので(去年の記事を,昨日の時点でタイトル変更,追記までしている),「ロリポップ」を使っている人は,今回の手当が済んだ後は,よく読んで取り組んだほうがいいと思う。

 レンタルサーバだと,導入されていない WAF は使いようがないだろうけど, WordPress 使いとして,せめて出来ることはやっておこう。前にも書いたけど,こんなとこが参考になると思う。

  1. WordPress のセキュリティ、こんな記事は要注意
  2. WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目
  3. Re: WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目

 セキュリティ関係はナマモノとはいうものの,上げられてる10個のうちの半分は, WordPress に限る話ではない。 up-to-date とか,パスワード強度とか,ユーザの啓蒙とか。最後のものなんて管理者だったら,一番苦労するとこ。

 しかし,管理者になっている方は,レベルの違いはあれ,日々勉強と縁が切れないってことだ。お互いに,ガンバ!!

追記:
 読み直してみて, wp-config.php や .htaccess のパーミッションの話を全く書いていないのに気付いた。今どき,あの環境で 404 , 604 は当たり前だろうとか思っていたせいで,書き忘れたのかな。結局, wp-config.php については, 400 ってことになったようだ。
 LINUX に詳しくないので,この辺がよくわからないのだが,レンタルサーバで public_html 下のファイルのオーナーと サーバソフトウェアのオーナーが違う場合, 400 にしちまうと, wp-config.php をビジターが使えなくてエラーになりそうな気がするが,その辺,ロリはどうなってんのだろ。
 詳しい方がいらっしゃったら,よろしく。

 ところで,先日
Windows ファイアーウォールからのアラートを受容すると自動的にルールが構築される。しかし,これが甘々なのである。 今回の場合でも,デフォルトだと,すべての IP アドレス&ポート(それも, TCP だけでなく UDP まで)についてオープンしている状態になる。これじゃあんまりなので,”セキュリティが強化された Windows ファイアウォール” の機能を使って,もう少しきっちりと制限しておくべきだと思うのであった。
と書いた件だが,ほかのパーソナルファイアーウォールを入れずに,”セキュリティが強化された Windows ファイアウォール”を使い続けている。この件で少し詳しい記事を書きたいと思っているが,今のところ,思っているだけ。
 一言愚痴っておくと,「スコープ」の細かい設定がしにくい。どなたか,その部分にデータをインポートするいい方法をご存じないですか。