日別アーカイブ: 2013年4月19日

【ご連絡】【ビジネスサーバ利用者対象】 WordPressを狙ったブルートフォース攻撃について

いつもBUSINESSぷららをお使いいただき、ありがとうございます。
2013年4月19日現在、ブログツール「WordPress」利用サイトを狙った大規模攻撃が世界中で観測されております。
「WordPress」をご利用のお客様におかれましては、今一度セキュリティ設定をご確認いただくことを推奨いたします。
御参考までに、「WordPress」のセキュリティレベルを向上する為の設定手順について、ご紹介させて頂きます。
なお、「WordPress」は弊社サポート外でございます。
下記設定に関する、お問い合わせ・動作・攻撃を受けた場合の結果について、弊社は一切対応を行わず、責任も負わないものとします。
予め御了承ください。
              
・ビジネスサーバ・Standardの場合
① wordpressのwp-login.phpファイルに対して接続元IPを絞る
1.コントロールパネルにログイン
2.各種ツールを選択
3.全てのファイルを選択
4.隠しファイルを表示するにチェック
5.www/htdocs/wordpressに移動
6..htaccessのプロパティを選択
7.以下の4行を最下部に追記
※<<自分のIP>>の個所は、実際には、123.123.123.123のようになります
  <Files ~ “wp-login\.php”>
  deny from all
  allow from <<自分のIP>>
  </Files>
8.実際にブラウザにてお客様環境下にてアクセスできることを確認
9.実際にブラウザにて他のファイル(例えばindex.php)
についてはどこからでもアクセス可能であることを確認
② wordpressのwp-login.phpファイルに対してBasic認証をかける
1.コントロールパネルにログイン
2.各種ツールを選択
3.アクセス制限を選択
4.htdocs/wordpressを選択
5.任意のIDとパスワードを入力
※その時点で、すでに存在する.htaccessが編集され、.htpasswdが新規作成されます
6.各種ツールに移動
7.全てのファイル
8.隠しファイルを表示するにチェック
9.www/htdocs/wordpressに移動
10..htaccessのプロパティを選択
11.以下の6行の上下に、ディレクティブではさむ
の個所はアカウント名となります。
  ===変更前===
  ## begin basic auth
  AuthName “the protected directory”
  AuthType Basic
  AuthUserFile “/usr/home//www/htdocs/wordpress/.htpasswd”
  Require valid-user
  ## end basic auth
  ====================================
  ===変更後===
  <Files ~ “wp-login\.php”>
  ## begin basic auth
  AuthName “the protected directory”
  AuthType Basic
  AuthUserFile “/usr/home//www/htdocs/wordpress/.htpasswd”
  Require valid-user
  ## end basic auth
  </Files>
  ====================================
12.実際にブラウザにてBasic認証がかかりログイン可能であることを確認
13.実際にブラウザにて他のファイル(例えばindex.php)についてはBasic認証がかからないことを確認
+++++++++++++++++++++++++++++++++++++++++++++++++
・ビジネスサーバ・VPSの場合
① wordpressのwp-login.phpファイルに対して接続元IPを絞る
1.シェルアクセスでアカウントにログイン
2.wp-login.phpがあるファイルのディレクトリに移動
3.vi .htaccess を実施
4.以下の4行を最下部に追記
※<<自分のIP>>の個所は、実際には、123.123.123.123のようになります
  <Files ~ “wp-login\.php”>
  deny from all
  allow from <<自分のIP>>
  </Files>
5.実際にブラウザにてお客様環境下にてアクセスできることを確認
6.実際にブラウザにて他のファイル(例えばindex.php)についてはどこからでもアクセス可能であることを確認
② wordpressのwp-login.phpファイルに対してBasic認証をかける
1.シェルアクセスでアカウントにログイン
2.wp-login.phpがあるファイルのディレクトリに移動
3.htpasswd -c .htpasswd AAA
※AAAは任意のID
4.vi .htaccess を実施
5.以下を最下部に追加
  <Files ~ “wp-login\.php”>
  ## begin basic auth
  AuthName “the protected directory”
  AuthType Basic
  AuthUserFile “DIRECTORY-PATH/.htpasswd”
  Require valid-user
  ## end basic auth
  </Files>
6.実際にブラウザにてBasic認証がかかりログイン可能であることを確認
7.実際にブラウザにて他のファイル(例えばindex.php)についてはBasic認証がかからないことを確認