WordPress

WordPress セキュリティ話(サーバーサイド)

WordPress 改竄コレクション
https://qiita.com/kawax/items/b6ccd4928e5faa567f0c
の続き。

とはいえ…

サーバー側に侵入されたことは一度もない

AWSのEC2は最初から鍵認証なので5年以上見ても一度もない。

日本のVPSだと未だにパスワード方式がデフォルトで危険。
たまにVPSごとWPを引き継ぐとパスワードだったりPHP5.3だったり嘘だろ…と思うほど悲惨な状況。もちろんWPも更新されてない。
マジで法人でもこんなレベルだからWPが得意とか言ってる会社は信用してはいけない。
というか今時WPでなんでもかんでも作ってる時点で技術力は一切ない。
10年前レベルで時が止まってる。
WPで作っていいのはブログだけ。

引き継いだ場合は前は真っ先に鍵認証に変えてたけど、サイトが動いてる状態でPHPのバージョンアップはしたくないので、今ならさっさと新しいサーバーへ移行しそう。

WPやプラグインは常に最新バージョンが基本

改竄の主な原因が不正ログインになるのは

  • サーバー側に問題がない
  • WPが最新バージョン

の条件を満たしてる時なのでWPのバージョンアップをしてない場合はそもそも論外すぎて話にならない。
WPの脆弱性がニュースにはなるけどそういうのは修正されるので自動更新してれば別に問題ない。

もう一つ 何年も更新されてない古いプラグインは使わない も大事。

これらは自分が対策できることだけど 何万回言っても簡単なパスワード使う他人 はどうしようもないので不正ログインだけが原因になる。
実際はこれも対策できるけど数百のWP全部にプラグインインストールして設定は面倒だろうからとやめてた。でもクライアントサイトに被害が相次いでどうしようもないので面倒でもやれとやらせた。

一度被害に合うと

ここは攻撃できる と覚えられてさらに攻撃が増える。
改竄されたファイルを消す程度の素人対応では何も解決しない。

AWS WAF

【新機能】AWS WAFマネージドルールを使ってWordPressに対する攻撃を防いでみた
https://dev.classmethod.jp/cloud/aws/aws-reinvent2017-waf-managed-rule-try/

また書くけどWAFにマネージドルールが登場して相当楽になった。
WPの外側で防ぐので大量のWPに何かすることなくそれなりに効果を得られる。
何をやってるかはブラックボックスだけど何もないよりはマシだろう。

色々対策した以降は新たな被害はまだ出てない。