- 締切済み
WordPressのセキュリティ
ロリポップ!、WordPress利用サイトで不正アクセスによる改ざん被害 -INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20130829_613274.html >全ユーザーのすべてのwp-config.phpファイル(WordPressの設定情報が書き込まれたファイル)のパーミッションを変更する これはどういう意味がありますか? >WordPress利用者の管理画面からの不正アクセスにより、データの改ざんや不正ファイルの設置がなされたという。 なのに意味がありますか?
- kengo04134
- お礼率0% (0/3)
- ウィルス・マルウェア
- 回答数3
- ありがとう数2
- みんなの回答 (3)
- 専門家の回答
みんなの回答
- coai
- ベストアンサー率50% (152/301)
>>WordPress利用者の管理画面からの不正アクセスにより、データの改ざんや不正ファイルの設置がなされたという。 >なのに意味がありますか? そのニュースに書かれている事だけを素直に読むと、通常は意味がないですね。 ただし、そのニュースに書かれている、『8月29日付お知らせ』のリンクに書かれている事を合わせて考えると、意味がないとも言い切れませんが。 『8月29日付お知らせ』によれば、 『1)セキュリティ面の強化の為、上記のお客様のサーバー領域に設置されているWordPressにおいて、wp-config.php のパーミッションを「400」に変更いたしました。』 との事です。 ロリポップは使用した事がないので詳細は判っていませんが、一般的なApacheの設定ではwp-config.phpを400に設定した場合、WordPressは動作しなくなります。 それが、400で設定しても動作するという事は、PHPの実行ユーザは契約ユーザに設定されているという事だと推測されます。 ※他の部分では、『PHPを動かす為には604に設定しろ』と一般的な設定で動作させているような事も書かれていて( たとえばココ http://lolipop.jp/manual/hp/cgi/ )、矛盾していますが。 共用サーバにおいて、604に設定している場合というのは、同一のサーバーをレンタルしている他者から覗かれるという事でもあります。 通常はそんな問題を起こす人は居ません。 契約時に個人情報を運営者に知らせて、金銭を払ってサーバーを借りて、その上で見知らぬ他のレンタル者に対して問題を起こすとは考えにくいという意味で。 しかしながら、セキュリティ意識の乏しい人がバックドアを仕掛けられたプラグインやテーマをインストールして運用していた場合、あるいは簡単なパスワードで運用していた場合…。 自分に辿りつかれるリスクがないなら話は別で、他のレンタル者の設定ファイルを覗き見るかも知れない。 WordPressのセキュリティリスクの一つは、設定ファイルが『wp-config.php』という名前だと決まっている事で、そのwp-config.phpが覗かれると、DB設定に関する事が平文で書かれていること。 ファイル名が判らなければ覗けない(かも知れない)事が期待できますが、かなり普及しているシステムなので、WordPressが使われていると仮定して適当に覗いて、まぐれ当たりする可能性も高い。 他者のwp-config.phpへのフルパスは、自分のサイトの設定や、公開されているサイトのURLからある程度見当がつく。 適当に覗いてみて、まぐれ当たりでDB設定を取得できれば、直接DBを書き換える事もできる。 一般的には、レンタルサーバを運営する場合は「卵は一つのカゴに盛るな」という戒めが必要になります。 共用サーバにしても、限定された人数(たとえば最大100ユーザなど)を収容して、レンタルサーバを運用するならセキュリティ意識が乏しいユーザが紛れこんだとしても、被害は同一収容サーバを借りた人のみに限定されます。 影響範囲が小さければ、侵入しても旨みが少ないので多少は狙われにくくなる。 仮に侵入されても、影響範囲は小さくて済む。 実際のところは判りませんが、被害を受けたサイトの多さからすると、ロリポップは一つのカゴに大量の卵を盛ってしまったんじゃないかな?という気がします。 大量の卵が盛られているので、大いに旨みがあると狙われやすくなっている状態のような気がします。 話を戻して、wp-config.phpを400に設定してもWordPressが正常に動作するのだとすると、契約ユーザの権限でApache(あるいはPHPエンジン)を動作させている特殊な状態だと思われます。 上記が正しいとすると、400に設定しておけば他のサイトが乗っ取られたとしても、自分のサイトの設定ファイルは覗かれることがないと期待できます。 という事は、質問の『パーミッションを変更する事の意味』は『ある』と言えます。 でも、上記のような特殊な(一般的ではない)設定で動作させているとは、どこにも書かれていないようなんですよね。 簡単にしか調べてないので、私の見落としの可能性もあるかも知れませんが。 一応その辺りが関連しそうなワード(『ロリポップ PHP CGIモード SuEXEC』)で検索してみたら、以下のようなサイトが見つかりました。 http://takuya-1st.hatenablog.jp/entry/20110903/1315008329 >調べてみたら、ロリポップはユーザー毎に phpを cgi-bin に置いてあるみたい との事なので、推測は当たっているのかも? その上で、マニュアルの整備が遅れていて、『PHPは604に設定しろ』などと(過去の設定の?)記述がされているところが、混乱を招いているのかも? さらに、ニュースの方も二つ(以上)の別個の事を、まるで一つの事象のようにまとめて書かれているのが、さらに混乱する結果に。 という気がしなくもない。 アチコチ掻い摘んだだけの説明ですが、『意味がないのでは?』と推測されている方ですので、充分な知識はあると考えて細かい事は割愛。
>WordPress利用者の管理画面からの不正アクセスにより、データの改ざんや不正ファイルの設置がなされたという。 全てのユーザーが改ざんや不正ファイルを置かれたわけでは ないでしょう 他のユーザーに被害が及ばいないようにパーミッションの 変更をサーバー管理者(ロリポップ)が行ったということで しょうね パーミッションを理解せずに利用しているユーザーは今後も 危ないでしょうね
- okwv_sine
- ベストアンサー率50% (2/4)
>これはどういう意味がありますか? おそらく、サーバー管理者以外はアクセス出来ないようにしたと思います。 >なのに意味がありますか? ですから、事態が悪化しないように必要な処置をとったということでしょう。 で、利用者はとにかくID、Passの変更とwp-login.phpへのアクセス制限を設定するということでしょう。対象ユーザーには連絡するということですから上記処置の上待機ということでしょう。 アプリケーションをいつも最新状態にしておく、ID、Passの管理やパーミション設定なんて基本的な事柄です。疎かにしてるから付け込まれるのです。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_1_thumbnail_img_sm.png)
