• 締切済み

WordPressのセキュリティ

ロリポップ!、WordPress利用サイトで不正アクセスによる改ざん被害 -INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20130829_613274.html >全ユーザーのすべてのwp-config.phpファイル(WordPressの設定情報が書き込まれたファイル)のパーミッションを変更する これはどういう意味がありますか?  >WordPress利用者の管理画面からの不正アクセスにより、データの改ざんや不正ファイルの設置がなされたという。 なのに意味がありますか?

みんなの回答

  • coai
  • ベストアンサー率50% (152/301)
回答No.3

>>WordPress利用者の管理画面からの不正アクセスにより、データの改ざんや不正ファイルの設置がなされたという。 >なのに意味がありますか? そのニュースに書かれている事だけを素直に読むと、通常は意味がないですね。 ただし、そのニュースに書かれている、『8月29日付お知らせ』のリンクに書かれている事を合わせて考えると、意味がないとも言い切れませんが。 『8月29日付お知らせ』によれば、 『1)セキュリティ面の強化の為、上記のお客様のサーバー領域に設置されているWordPressにおいて、wp-config.php のパーミッションを「400」に変更いたしました。』 との事です。 ロリポップは使用した事がないので詳細は判っていませんが、一般的なApacheの設定ではwp-config.phpを400に設定した場合、WordPressは動作しなくなります。 それが、400で設定しても動作するという事は、PHPの実行ユーザは契約ユーザに設定されているという事だと推測されます。 ※他の部分では、『PHPを動かす為には604に設定しろ』と一般的な設定で動作させているような事も書かれていて( たとえばココ http://lolipop.jp/manual/hp/cgi/ )、矛盾していますが。 共用サーバにおいて、604に設定している場合というのは、同一のサーバーをレンタルしている他者から覗かれるという事でもあります。 通常はそんな問題を起こす人は居ません。 契約時に個人情報を運営者に知らせて、金銭を払ってサーバーを借りて、その上で見知らぬ他のレンタル者に対して問題を起こすとは考えにくいという意味で。 しかしながら、セキュリティ意識の乏しい人がバックドアを仕掛けられたプラグインやテーマをインストールして運用していた場合、あるいは簡単なパスワードで運用していた場合…。 自分に辿りつかれるリスクがないなら話は別で、他のレンタル者の設定ファイルを覗き見るかも知れない。 WordPressのセキュリティリスクの一つは、設定ファイルが『wp-config.php』という名前だと決まっている事で、そのwp-config.phpが覗かれると、DB設定に関する事が平文で書かれていること。 ファイル名が判らなければ覗けない(かも知れない)事が期待できますが、かなり普及しているシステムなので、WordPressが使われていると仮定して適当に覗いて、まぐれ当たりする可能性も高い。 他者のwp-config.phpへのフルパスは、自分のサイトの設定や、公開されているサイトのURLからある程度見当がつく。 適当に覗いてみて、まぐれ当たりでDB設定を取得できれば、直接DBを書き換える事もできる。 一般的には、レンタルサーバを運営する場合は「卵は一つのカゴに盛るな」という戒めが必要になります。 共用サーバにしても、限定された人数(たとえば最大100ユーザなど)を収容して、レンタルサーバを運用するならセキュリティ意識が乏しいユーザが紛れこんだとしても、被害は同一収容サーバを借りた人のみに限定されます。 影響範囲が小さければ、侵入しても旨みが少ないので多少は狙われにくくなる。 仮に侵入されても、影響範囲は小さくて済む。 実際のところは判りませんが、被害を受けたサイトの多さからすると、ロリポップは一つのカゴに大量の卵を盛ってしまったんじゃないかな?という気がします。 大量の卵が盛られているので、大いに旨みがあると狙われやすくなっている状態のような気がします。 話を戻して、wp-config.phpを400に設定してもWordPressが正常に動作するのだとすると、契約ユーザの権限でApache(あるいはPHPエンジン)を動作させている特殊な状態だと思われます。 上記が正しいとすると、400に設定しておけば他のサイトが乗っ取られたとしても、自分のサイトの設定ファイルは覗かれることがないと期待できます。 という事は、質問の『パーミッションを変更する事の意味』は『ある』と言えます。 でも、上記のような特殊な(一般的ではない)設定で動作させているとは、どこにも書かれていないようなんですよね。 簡単にしか調べてないので、私の見落としの可能性もあるかも知れませんが。 一応その辺りが関連しそうなワード(『ロリポップ PHP CGIモード SuEXEC』)で検索してみたら、以下のようなサイトが見つかりました。 http://takuya-1st.hatenablog.jp/entry/20110903/1315008329 >調べてみたら、ロリポップはユーザー毎に phpを cgi-bin に置いてあるみたい との事なので、推測は当たっているのかも? その上で、マニュアルの整備が遅れていて、『PHPは604に設定しろ』などと(過去の設定の?)記述がされているところが、混乱を招いているのかも? さらに、ニュースの方も二つ(以上)の別個の事を、まるで一つの事象のようにまとめて書かれているのが、さらに混乱する結果に。 という気がしなくもない。 アチコチ掻い摘んだだけの説明ですが、『意味がないのでは?』と推測されている方ですので、充分な知識はあると考えて細かい事は割愛。

noname#191223
noname#191223
回答No.2

>WordPress利用者の管理画面からの不正アクセスにより、データの改ざんや不正ファイルの設置がなされたという。 全てのユーザーが改ざんや不正ファイルを置かれたわけでは ないでしょう 他のユーザーに被害が及ばいないようにパーミッションの 変更をサーバー管理者(ロリポップ)が行ったということで しょうね パーミッションを理解せずに利用しているユーザーは今後も 危ないでしょうね

回答No.1

>これはどういう意味がありますか? おそらく、サーバー管理者以外はアクセス出来ないようにしたと思います。 >なのに意味がありますか? ですから、事態が悪化しないように必要な処置をとったということでしょう。 で、利用者はとにかくID、Passの変更とwp-login.phpへのアクセス制限を設定するということでしょう。対象ユーザーには連絡するということですから上記処置の上待機ということでしょう。 アプリケーションをいつも最新状態にしておく、ID、Passの管理やパーミション設定なんて基本的な事柄です。疎かにしてるから付け込まれるのです。

  1. カテゴリ
  2. インターネット・Webサービス
  3. セキュリティ対策・ネットトラブル
  4. ウィルス・マルウェア

関連するQ&A

  • ロリポップでのwordpress設定について

    すみません、詳しくないので教えていただけたら大変助かります。状況としてwordpressにアクセスできないです。下記の経緯があります。 ロリポップにて公開フォルダ(フォルダ名:shishikon)にwordpressを設置し、データーを入力してロリポップ側で提供するサブ的なドメインで表示させていましたが。この時点では特段問題なくwordpressは表示されていました。ムームードメインで管理しているドメインをロリポップに紐づけて表示させるためムームドメインにてロリポップと紐づけ処理をしました。wordpressの管理画面の一般設定からwordpressアドレス(URL)とサイトアドレス(URL)を下記のように変更しました。 変更前 wordpressアドレス(URL)https://chancemaker.chowder.jp/shishikon/ サイトアドレス(URL) https://chancemaker.chowder.jp/shishikon/ 変更後 wordpressアドレス(URL)https://shishi-kon.com サイトアドレス(URL) https://shishi-kon.com 上記のように変更して、ロリポップの管理画面で独自ドメインをshishi-kon.comにして公開フォルダをshishikonにしました。 ワードプレス以外の静的ページは表示されるのですが、wordpressだけアクセスできません。現在このリクエストを処理できません HTTP ERROR 500となります。(変更前には見れていたので特にwordpressの関連ファイルのパーミッションは変えていません。) ネット情報(参照先:https://libre-co.com/wordpress/wp-login-error/)を参考に下記してみました。 wp-config.phpの最後に下記コードをいれたらば管理画面にアクセスできるとのことで追記してみました。 update_option( 'siteurl', 'https://shishi-kon.com' ); update_option( 'home', 'https://shishi-kon.com' ); しかし、アクセスできませんでした。 phpMyAdminにてデーターベースのテーブルをみると  siteurl は https://shishi-kon.com home は https://shishi-kon.com となっています。 初心者なのでもうわけがかわらず途方に暮れています。 既にwordpressには1000件近くデーターを入力しているので再構築は避けたいです。 どなたかお知恵をおかしいただけますでしょうか? また、新規にワードプレスをインストールしたとして、現在アクセスできないwordpressのサイトデーターを紐づけして同じ内容を表示させることはできますか?もしできるならその方法をおしえていただけますでしょうか? wp-config.phpへの記述のデーターベースとテーブル名は同じにしておいても大丈夫でしょうか?投稿データーへの支障はでないでしょうか サイトのURL : https://shishi-kon.com

  • wordpress ディレクトリの更新日時について

    現在、Wordpressをインストールして運用しているサイトがございます。 特にサイトの記事やファイルが操作されている様子は見受けられませんが、 FTPにて接続した際にWordpressをインストールしているディレクトリや「wp-content」の更新日時が変化しております。 どこか更新されているか調べたく「wp-content」を開くと「plugins」や「themes」の更新日時が更新されており、 さらに「plugins」や「themes」を開くと、どのフォルダやファイルも更新されておりません。 特に操作していない場合でもWordpressをインストールして運用している場合、「plugins」や「themes」のディレクトリのみが更新日時が更新される場合があるのでしょうか。 その場合は、どのようなことが考えられますでしょうか。 ロリポップの改竄などの記事もあり、サイトが知らないところで改竄されていないか心配になり、質問をさせていただきました。 ご存知の方がいらっしゃいましたら、ご教授をお願いいたします。

    • ベストアンサー
    • PHP
  • 複数のWordPressを設置したい

    ロリポップレンタルサーバに複数のWordPressを設置したい。 1個目は簡単設置マニュアルで設置しました。 2個目は1個目をコピーして別のフォルダに入れて、 wp-config.php の $table_prefix = 'テーブル名_'; を 書き換えれば設置できますか?

  • WordPressからロリポップへ移行できません

    WordPressについてお伺いします。 WPで作成したHPをロリポップのサーバーに移行しようとして、できずに困っています。 現在、別な場所にいるため操作画面などが見られませんので分かりづらいところはご了承ください。 状況ですが、AさんがWPで作成したHPが移行できないということで、ロリポップでWPのインストールをしました。(ロリポップで独自ドメイン使用です。古いHPのデータも残っていて、別フォルダに後から全てまとめました。古いindex.htmlは削除しました。) すると、すでにインストールしていたらしく、「Hello」の画面になってしまいました。 MySQLの中にwp1_postなどが残っていたので、config.phpをwp3とか4とかになっていたところをwp1に直し、トップページは文字だけ表示されるようになりました。 スタイルや画像は全く表示されません。 また、WPで作成していた画面も見られなくなりました。 どのような操作をすれば良いのか教えてください。 色々とググってみて試したのですが、できません。 元どおりの画面にするのは難しいのでしょうか? Aさんがバックアップを取っているかどうかは不明です。 よろしくお願いいたします!

  • WordPressのテーマを変更できない

    WordPress初心者です。 WordPressに最初から入っているTwenty Elevenから、Twenty TwelveやTwenty Thirteenを有効化するのですが変更されません。 管理画面ではきちんと変わっているように表示されます。ですが、実際のサイトはTwenty Elevenのままです。 ファイルやフォルダのパーミッションは色々いじってしまっているので、それが原因かもしれません。 ですが、どのファイルのパーミッションを変えればいいのかもわかりません。 WordPressは今日アップデートしたので最新です。(3.7) サーバーはロリポップです。 原因と解決方法が分かる方いらっしゃいましたら、どうぞよろしくお願いいたします。

  • wordpress ブログの(URL)を変更したらログインできなくなり

    wordpress ブログの(URL)を変更したらログインできなくなりました ワードプレスの設定画面にて、「http://***.xsrv.jp/」の一部を誤って 消してしまい、そのまま画面右上の×印を押したら 404file not found の画面が出てしまいました。 そこで、こちらを参考にしたのですが ⇒http://okwave.jp/qa/q4755986.html 上記の回答欄にあるこちらの意味がよくわかりません。 ↓ 「wp-config.php に define('WP_SITEURL', 'Wordpressのアドレス(URL)'); と記述すれば治ると思います。」 ffftp内のwp-config.phpをクリックしますと、 define('WP_SITEURL', 'Wordpressのアドレス(URL)'); が出ないです。 変わりに下記のようなメッセージが出ました。 ↓ <?php _/** * WordPress 基本設定 * * このファイルは、MySQL、テーブル接頭辞、秘密鍵、言語、ABSPATH の設定を含みます。 * より詳しい情報は {@link http://wpdocs.sourceforge.jp/wp-config.php ~省略~ お解りになるかたがいらっしゃいましたらよろしくお願い致します。

  • wordpressのインストール

    www.○○○.com/のあとにいれていたwordpressを www.○○○.com/△△/にもっていきたかったので移動させたいのですが、 インストールできません。 サーバーはサクラインターネットを使っています。 wordpressを一度アンインストールしないといけないのかなと思い mysqlも1度以前つかっていたデータベースの中身を全部削除して 再設定しました。 wp-config.php の編集は以前のままでffftpにアップしてあります。 最後のhttp://.○○○.com/△△/wordpress/wp-admin/install.phpに接続されないのですが 原因がわかりません。 詳しい方、教えてください。

    • ベストアンサー
    • MySQL
  • wordPressのインストールが上手くいかなくて困っております。

    wordPressのインストールが上手くいかなくて困っております。 PHP5とapache2とmysql5をインストールし、wordpressのインストールに挑戦して いるのですがどうしても上手くいきません。 PHP・apache・mysqlはPHPのテキストに書いてあった通りの設定を済ましました。 wordpressをインストールするにあたり、wordpress用のデータベースも作成しました。 wordpressをZIP形式でダウンロードし、apacheのhtdocsフォルダ内に解凍しました。 wordpressフォルダ内にあるwp-config-sample.phpを複製し、名前を wp-config.php内のデータベースに関する設定も行いました。 ブラウザを起動し、「http://localhost/wordpress」とURL欄に入力すると、 添付画像のような画面が現れて、そこから前へ進めません。 ちなみに、htdocsフォルダ内に自作のphpファイルを作成してURLを入力すると、 正常に表示されます。 考えられる原因としてはどんなことがあるでしょうか?

  • ファイルを改ざんしたスクリプトを探したい

    WordPressのサイトを運用しています。 バージョンは最新ですが、Googleからハッキングされた可能性がありますと連絡がありました。 調べてみると、.htaccessファイルの中に、 RewriteRule ^snab/(.*)$ wp-includes/pomo/wp-info.php?$1 [L] という行が挿入されていました。 行を消して更新し直して、念のためにパーミッションを404にしましたが、翌日になると 同じ行が挿入されて、パーミッションを755にされていました。 明らかに不正アクセスされているわけですが、WordPress内のどれかのPHPが更新しているのか調べてもわかりませんでした。 PHPでないのかもしれませんが、どこから書き換えてるのかを調べたいです。 ここで知りたいのは、ファイル改ざんをした場合、どのスクリプトが書き換えたかを知る事ができるかどうかです。デーモンだった場合でも、どのデーモンが書き換えたかを検知する事ができるかどうかを知りたいのです。 方法をご存じの方がいればご教授願えれば幸いです。 なお、当方の環境はVPS(CentOS 5.8)です。Root権限は所有しています。 よろしくお願いします。

  • WordPressについて

    wordpressに関する質問です。 記事を投稿する際に記事の中にリンクを貼って公開したのですが、 サイト上でそのリンクをクリックしても 「下書きをプレビューする権限はありません」 という表示がされてリンク先が表示されません。 wordpressアドレスと一般アドレスは一致しており 認証ユニークキーの変更で解決できるかなと思って います。 その際にwp-config.php ファイルを操作するようなんですが このファイルというのはどこにあるのでしょうか。 詳しい方おられましたらよろしくお願いします。 ※OKWaveより補足:「富士通FMV」についての質問です。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する