2013.10.22 更新しました。

2013年4月にWordPressへの攻撃が活性化している事を受けて記事を書きました。攻撃の詳細は、こちらです。http://www.computerworld.jp/topics/563/206948

ところが、2013年8月末にロリポップ上においていたWordPressが改ざんされてしまいました。8,900件以上との事なので、ほとんどが改ざんされたと思いますが、私もまんまと…攻撃の詳細は、こちらです。http://lolipop.jp/info/news/4149/

対応が不十分だったと痛感し、別途、対応を行ったので、記事を更新します。

2013年4月に対応していた事

  1. “admin”ユーザーを削除し、推測しにくい管理ユーザーを作成
  2. プラグインインストール「Secure WordPress」(http://wordpress.org/extend/plugins/secure-wordpress/)エラーメッセージ無効、WordPressバージョン非表示、管理画面のWordPressバージョン非表示、ディレクトリ一覧表示制御、クエリブロック などなど
  3. プラグインインストール「Login LockDown」 (http://wordpress.org/extend/plugins/login-lockdown/
    ログインを3回失敗すると1時間ロック

2013年8月に対応した事

  1. プラグイン変更「Secure WordPress」→「Acunetix Secure WordPress」
  2. プラグインインストール「Crazy Bone (狂骨)」
  3. 「wp-config.php」ファイルのパーミッション「400」へ変更
  4. 「.htaccess」ファイルのパーミッション「604」へ変更

「Crazy Bone」を入れてみると、定期的に海外から”admin”ユーザーでログインを試されていることが分かり、ぞっとします。何か他にも必要な対策などありましたら、ぜひぜひ、コメント等でご教授いただけたら幸いです!