2013/09/12
『WordPress』におけるセキュリティ対策の強化について
平素はネットオウルをご利用いただき誠にありがとうございます。
ブログツール「WordPress」は近年人気が急上昇しており、
弊社レンタルサーバーやPHP APPS(WordPress)において
多くのお客様にご利用いただいております。
しかしながら、その利用者数の多さから、様々な攻撃事例が多く報告されており、
先日、他社レンタルサーバーサービスにおいても大規模な改ざん被害が報告されております。
これを受け弊社では、WordPressのセキュリティ対策の強化を目的とし、
ログイン試行回数によるアクセス制限を実施する「ログイン試行回数の制限」機能を追加するとともに、
国外からのログインを拒否する「WordPress国外IPアクセス制限」機能の適用範囲を拡大しました。
併せて、セキュリティの多重化を目的として、
wp-config.phpのパーミッションをよりセキュアな600へ変更いたしました。
詳細につきましては、以下をご参照ください。
------------------------------------------------------------
【対象サービス】
ミニバード、ファイアバード、クローバー
スターサーバープラス、ウェブクロウプラス、ウェブクロウ(PHPオプション)
PHP APPS(WordPress)
【WordPressセキュリティ対策機能の強化について】
各レンタルサーバーのサーバー管理ツールおよび
PHP APPS(WordPress)のアプリケーション設定において、
下記機能を追加しました。
◆ログイン試行回数の制限機能
WordPressの管理領域に対して一定回数以上ログインに失敗したIPアドレスに対し、
アクセス制限を実施する機能を追加しました。
◆「WordPress国外IPアクセス制限」の適用範囲の拡大
同機能にてこれまで対応していた
WordPress管理ツールへの国外IPアドレスからのWEBアクセスの制限について、
適用範囲を「全てのフォルダ」へ拡大しました。
・これまでの制限対象
/wp-admin
/blog/wp-admin
/wp/wp-admin
/wp-login.php
/blog/wp-login.php
/wp/wp-login.php
・今後の制限対象
wp-admin
wp-login.php
※ PHP APPSでは同機能の実装当初より、
全てのWordPressに対して制限が適用されています。
なお、各レンタルサーバーではこの度の機能追加にあたり、
サーバー管理ツールに『WordPressセキュリティ設定』メニューを追加し、
「WordPress国外IPアクセス制限」を『WordPressセキュリティ設定』へ統合しました。
◇マニュアル:
ミニバード WordPressセキュリティ設定
ファイアバード WordPressセキュリティ設定
クローバー WordPressセキュリティ設定
スターサーバープラス WordPressセキュリティ設定
ウェブクロウ WordPressセキュリティ設定
PHP APPS(WordPress)WordPressセキュリティ設定
【WordPress設定ファイル「wp-config.php」のパーミッション「600」への変更】
簡単インストールにて新規でインストールされるWordPressおよび
お客様にてすでにインストール済みの全てのWordPressに対して、
設定ファイルである「wp-config.php」のパーミッションを公式推奨値の「600」へ変更いたしました。
通常は644等のパーミッションでも問題になることはございませんが、
セキュリティの多重化を目的としてより安全性を高めるため対応を実施しております。
※パーミッションを変更したことによるプログラムへの影響は通常ございません。
なお、大規模改ざんの原因として他サービスにおいて問題性が指摘されている
FollowSymlinksによる別ユーザファイルの読み込み処理に関して、
当サービスでは別ユーザへのリンクに対して読み込みを制限するシステムを実装済みであり、
また、同様の手口による改ざんの被害は確認されておりませんのでご安心ください。
------------------------------------------------------------
なお、WordPressに限らず、旧バージョンのプログラムを利用し続けると既知の脆弱性を突かれ、
不正アクセスの対象となる場合がございます。
セキュリティ上の観点から、ご利用プログラムは定期的にバージョンアップを行い、
最新版のプログラムをご利用になりますようお願いいたします。
◇関連ニュース:
「WordPressの管理画面」に対するセキュリティ向上を目的とした国外IPアドレスからのアクセス制限の実施および「WordPress国外IPアクセス制限」機能、「管理ツール(ダッシュボード)の国外IPアクセス制限」機能の追加について
ブログツール「WordPress」は近年人気が急上昇しており、
弊社レンタルサーバーやPHP APPS(WordPress)において
多くのお客様にご利用いただいております。
しかしながら、その利用者数の多さから、様々な攻撃事例が多く報告されており、
先日、他社レンタルサーバーサービスにおいても大規模な改ざん被害が報告されております。
これを受け弊社では、WordPressのセキュリティ対策の強化を目的とし、
ログイン試行回数によるアクセス制限を実施する「ログイン試行回数の制限」機能を追加するとともに、
国外からのログインを拒否する「WordPress国外IPアクセス制限」機能の適用範囲を拡大しました。
併せて、セキュリティの多重化を目的として、
wp-config.phpのパーミッションをよりセキュアな600へ変更いたしました。
詳細につきましては、以下をご参照ください。
------------------------------------------------------------
【対象サービス】
ミニバード、ファイアバード、クローバー
スターサーバープラス、ウェブクロウプラス、ウェブクロウ(PHPオプション)
PHP APPS(WordPress)
【WordPressセキュリティ対策機能の強化について】
各レンタルサーバーのサーバー管理ツールおよび
PHP APPS(WordPress)のアプリケーション設定において、
下記機能を追加しました。
◆ログイン試行回数の制限機能
WordPressの管理領域に対して一定回数以上ログインに失敗したIPアドレスに対し、
アクセス制限を実施する機能を追加しました。
◆「WordPress国外IPアクセス制限」の適用範囲の拡大
同機能にてこれまで対応していた
WordPress管理ツールへの国外IPアドレスからのWEBアクセスの制限について、
適用範囲を「全てのフォルダ」へ拡大しました。
・これまでの制限対象
/wp-admin
/blog/wp-admin
/wp/wp-admin
/wp-login.php
/blog/wp-login.php
/wp/wp-login.php
・今後の制限対象
wp-admin
wp-login.php
※ PHP APPSでは同機能の実装当初より、
全てのWordPressに対して制限が適用されています。
なお、各レンタルサーバーではこの度の機能追加にあたり、
サーバー管理ツールに『WordPressセキュリティ設定』メニューを追加し、
「WordPress国外IPアクセス制限」を『WordPressセキュリティ設定』へ統合しました。
◇マニュアル:
ミニバード WordPressセキュリティ設定
ファイアバード WordPressセキュリティ設定
クローバー WordPressセキュリティ設定
スターサーバープラス WordPressセキュリティ設定
ウェブクロウ WordPressセキュリティ設定
PHP APPS(WordPress)WordPressセキュリティ設定
【WordPress設定ファイル「wp-config.php」のパーミッション「600」への変更】
簡単インストールにて新規でインストールされるWordPressおよび
お客様にてすでにインストール済みの全てのWordPressに対して、
設定ファイルである「wp-config.php」のパーミッションを公式推奨値の「600」へ変更いたしました。
通常は644等のパーミッションでも問題になることはございませんが、
セキュリティの多重化を目的としてより安全性を高めるため対応を実施しております。
※パーミッションを変更したことによるプログラムへの影響は通常ございません。
なお、大規模改ざんの原因として他サービスにおいて問題性が指摘されている
FollowSymlinksによる別ユーザファイルの読み込み処理に関して、
当サービスでは別ユーザへのリンクに対して読み込みを制限するシステムを実装済みであり、
また、同様の手口による改ざんの被害は確認されておりませんのでご安心ください。
------------------------------------------------------------
なお、WordPressに限らず、旧バージョンのプログラムを利用し続けると既知の脆弱性を突かれ、
不正アクセスの対象となる場合がございます。
セキュリティ上の観点から、ご利用プログラムは定期的にバージョンアップを行い、
最新版のプログラムをご利用になりますようお願いいたします。
◇関連ニュース:
「WordPressの管理画面」に対するセキュリティ向上を目的とした国外IPアドレスからのアクセス制限の実施および「WordPress国外IPアクセス制限」機能、「管理ツール(ダッシュボード)の国外IPアクセス制限」機能の追加について