photo credit: ahockley via photopin cc
世の中切ない事がありますね。凛(@rin_wan)です。
大事に大事に手塩にかけた愛すべきBlogが乗っ取られる被害が続出しているようです。悲しい話ですよ。
まだ何も詳しい事が判明しておらず、情報が右往左往しておりますがこれもWordpressを使う以上知っておくべき知識だと思うのでお勉強してみました。
ここ数日やったことをまとめて紹介しておきます。
※これをやれば絶対乗っ取られない!と保証されているワケではありませんよ!!!ご注意下さい。
目次
大量のWordpress乗っ取り
元々昔からWordpressには色々な攻撃があったのは知っておりましたが、今回の乗っ取り騒ぎは身近な所で何人も被害に…。
今回はハッキングしたと声明を出したハッカーが、自分が乗っ取りを実行したサイトのドメイン一覧を表記しており、その数はものすごい数になっており日に日に数が増えています。
被害の特徴としては
・タイトルが「Hacked by Krad Xin」となっている
・サイト全体が文字化けしている
というものです。
もしよく見に行くBlogが万が一そのような状態になっていたら、念の為に管理者さんに声をかけて上げて下さい。
もしかしたら既にショックを受けつつも対策を講じている最中かもしれないので返事がなくてもそっとしてあげて下さい…。
りんろぐ。がそうなった時はきっと私気付いてないので凛(@rin_wan)まで教えてやって下さい!
そして悲しい出来事によって折れた心を奮い立たせてBlogを復活させた勇気ある私のBlogの師匠であるりくまさん(@Rikuma_)の背筋も凍るレポはこちら。
対策:パーミッションの変更
まず、Wordpressに大事なファイルの「パーミッション」と呼ばれる権限を確認しました。
このパーミッションとはファイルへのアクセス権限の事です。ファイルに情報を書き込んでいい人なのか、読み取りだけなのか等。
どうやらロリポップはデフォルトでは非常によろしくない状態に晒されていたようです。こんな告知が出ていますので至急確認を!
私も全く違う、自由に誰でも書き込みが出来る状態になってました。急いで変えなきゃ!!と思いつつ。ま、ただこのパーミッション。いきなり400にしろと言われてもやり方が分からないものですよね。
私は昔CGIを触っていた頃からめっきりやっていなかったので焦りました…。こちらを参考にして下さい。
対策:各種パスワードの変更
次に確認すべきは各種パスワードの変更です。
この部分についてはこちらの記事を参考にやりましょー。
WordPressのログインID&PW
デフォルトではログイン名はadminという普通の名前なんですが、このままで使うのは森の中に赤ずきんちゃんがお花を摘みに行くぐらいヒドイ行為です。
必ずドメインからも推測されにくい、記号なども混在するようなものに変更しましょうね。
PWも安易な物を使わない、桁数もなるべく多く英語の大文字小文字数字を組み合わせて「強力」な物を作りましょう。
ちなみにログイン名はデフォルトの状態だと外から丸見えだってご存知でしたか?「Edit Author Slug」というプラグインを使う事で対策が可能です。
ロリポップのログインPW
これ、意外と盲点なんですがお使いのパスワードは最初にロリポップからもらった物ではありませんか?初期値であれば早急に変更を!
私は初期値ではないものの、長いこと同じPWを使っていたので変更しておきました。
対策:WPへのログイン管理
ログイン試み履歴を確認出来るこのプラグインを導入しました。
何やら怖い感じですが、要はログイン情報を監視するプラグインです。ログイン画面に画像認証を導入するプラグイン「SI CAPTCHA Anti-Spam」とぶつかる模様。
導入時には既存のプラグインを確認の上行って下さいねー!
対策:WPのDBバックアップ
実はWordpress導入してからずっと先輩方オススメの「BackWPup」を使っていましたが、ずっとDBのエラーが出てました。
これがロリポップだからなのか、私の利用プランのせいなのか、私のりんろぐ。がおかしいのか未だに分かりませんが唯一わかっているのはDBバックアップが取れないという事。
今までは泥くさくこちらのサイトにある方法を行ってましたよ。
WP-DBManager
なので、これを機にプラグイン変更しました。今回導入したのは「WP-DBManager」。
こちらのサイトでもオススメされていたプラグインです。
導入方法はこちら。
ただすんなりいかなかったのが私の場合。DBバックアップを押しても導入例のサイトのように緑でOKサインなんて出てない。赤文字で「パスは存在しません。」のオンパレードorz 何よこれorz
そんな救世主がこちら。
こちらの通りにやると無事にバックアップが取れました!!!
FTPサイトの一括DL
万が一乗っ取られた時に再構築する元気は一切ないので、FTPサイトにあるデータもファイル構成もそのままにローカルにDLしました。
テーマやプラグインが入ったフォルダのファイル数は8,000超えてました。・゚・(ノ∀`)・゚・。凄いな。
記事のエクスポート
大事に大事に愛をこめて書いた記事達も消えたらもう戻せませんorz
なので、エクスポートしておきました。ダッシュボードからツール>エクスポート>全てのコンテンツでOKです。
最初は何やらツールをインストールする必要がありますが、2回目からはそのままエクスポート可能です。拡張子は「.xml」のファイルですよー。
対策:WPのアップデート
そしてなんといってもセキュリティ対策として最低限やらなきゃいけないのは最新のバージョンにする事。
アップデートするとサイトが崩れる、プラグインが対応していない等色々と問題も見かけたので躊躇していましたが、乗っ取られてからでは遅い。
全てバックアップを取った上でバージョンアップを行いました。1分もかからずに無事に3.6になりました!あードキドキしました。
一部アイキャッチが消える問題が出ていたようですが、今のところりんろぐ。では過去分も問題ないようです。モブログする為に導入していたプラグイン「Auto Post Thumbnail」のおかげかもしれません。
何か表記がおかしい部分があれば凛(@rin_wan)まで教えてやって下さい!
凛的まとめ
・悲しい話だ!
・ID、PWの見直しを!!
・愛すべき居場所を守る為にはセキュリティの知識が必須だ!!!
当たり前の話かもしれませんが、素人が手を出したWordpressがこんなにもセキュリティと戦う羽目になろうとは。
Twitterで遊んでもらっているセキュリティの達人がいつも書くことに集中したいといっていた意味がようやく分かってきました…。
でもせっかく可愛いテーマを作ろうと頑張っている所なのでまだWorpdressは使っていきたいなー。もっと色々セキュリティの勉強しなくては。
ロリポップ。素人が気軽にWordpressを始めるにはとっても素敵なサーバーなんですけどね。そんな気軽に始めちゃいかんという意見もありつつ。難しい所ですね。
でも私はロリポップを責める前に、知っておくべき情報が不足している己の無知さを改めねば。
ちなみにこれで乗っ取られた時にはまた違った対策が必要だったというデータになるはず!!どちらにしても参考になると思われます!
でもせっかく書いたので、どうか公開するまで乗っ取られませんようにと祈るしかないw
こんなサイトが勉強になるよ!という優しい方がいらっしゃいましたら凛(@rin_wan)まで教えてやって下さい!
次の記事もお楽しみに〜(*`・ω・)ゞ
Posted from するぷろ for iPhone.