おはようございます。じぇいかわさきです。
皆さんには本当にご迷惑をおかけしました。いきなりログインできなくなった事件の結末は、サーバー側での設定でした。
その際に結構wordpressの設定や状態を確認して、まずいなって思った部分も有ったので、もう一度設定内容の見直しを実施しました。
なぜなら、不正アクセスなどの外部アタックを含めて、設定が間違っていた所もあったので、プラグインも含めて全部見直しました。
wordpressでブログを始めた人の、まさかの時に参考になれば良いかと思います。
1.基本中の基本設定
wordpressをインストールするのも、従来は自分でwordpressのファイルをFTPでアップロードし、MySQLの設定をしてから自分でインストールを行っていましたよね。
最近はサーバーのサービスの一つとして、最初からwordpressが入っている場合もあり、一部の設定を修正するだけで使えるって事が多くなりました。
そうすると、従来は自分でアクセス権の変更を実施していたことが、最初からインストールされているので、既に出来上がっていると思い込んでしまう場合が有ります。
今回のログインできない事件で、自分もディレクトやファイルのアクセス権を見直したのですが、その際に在り得ない設定になっているのも有りました。
https://daini-no-jinsei.jp/blog/403-trouble/
チェックしていった中で、wordpressの基本設定を司るwp-config.phpのアクセス権が何と外部から読める状態になっていたんです。
このwp-config.phpにはMySQLのログインIDやパスワードが記述されており、しかもクリアテキストになっているので、これを外部から読めばログインID/PWが筒抜けになってしまうのです。
非常にまずい状態でした。確認した時のアクセス権は644になっておりましたので、グループもその他も読む事ができるアクセス権ですね。
これをオーナーしか読めないアクセス権に変更です。具体的にはFTPソフトを使い、wp-config.phpのアクセス権を644→400に変更します。
アクセス権400はオーナーだけが読み取れる設定です。
更に心配な場合は、.htaccessファイルにwp-config.phpがアクセスできないように以下の記述を追加します。
<files wp–config.php>order allow,denydeny from all</files>
- サイトアクセスをするのはAdminを使用しない
- 自分のユーザーを追加して使用
- 複数ユーザーで使用しない
個人のブログであれば、3はあり得ないと思いますが、便利だからと言って1をそのままにしておいてはいけません。
万が一ハッキングされれば、それこそサイトの改竄し放題になってしまいますからね。必ず自分用のユーザーを設定して、そのユーザーで操作をするようにしましょう。
2.セキュリティを強化
次に当たり前の事ですが、Windowsパソコンを使用している場合、アンチウィルスソフトをインストールして、外部からの不審ファイルの遮断や外部からのアクセスを遮断していると思います。
同じように、wordpressについても実施する必要がありますね。Windowsで言うアンチウィルスソフトとはちょっと違いますが、以下の物を自分は使用しています。
1.Akismetでスパムコメント対策を行う
Akismetは言わずと知れた、スパムコメント対策ソフトです。これはPluginなので簡単にインストールできますが、その後に若干の設定が有ります。
自分の所もそうですが、やはりコメント欄に無限にやってくるスパムをガードするプラグインであるAkismet Anti-Spam
このプラグインが無いと、海外から来るコメントスパムの餌食になる事間違いなし。入れているだけで全てのスパムコメントを勝手に隔離し、一定期間で削除してくれます。
自分の所なんか、あっと言う間に何千と言うスパムコメントで埋め尽くされますが、これが入っているおかげで、勝手に削除してくれるので非常に助かります。
2.SiteGuardでセキュリティ強化
このSiteGuardは日本製のプラグインのため、何かあった時にもいろんな情報が有るので、非常に便利。今回のログインできない事件の時も、この解除の方法とかいろいろと参考になりました。
このPluginはインストールするだけで非常にたくさんの項目のセキュリティ対策がこれ一つで出来るのです。
特に、ログイン画面を変えて直接wordpressのwp-login.phpをアクセスしないようにするとか、コメント投稿時に画像認証を追加するとかが簡単にできるんです。
持っている機能としては以下がダッシュボードから設定できます。
- 管理ページアクセス制限
- ログインページ変更
- 画像認証
- ログイン詳細エラーメッセージの無効化
- ログインロック
- ログインアラート
- フェールワンス
- XMLRPC防御
- 更新通知
- WAFチューニングサポート
- 詳細設定
- ログイン履歴
最初にある、管理ページアクセス制限だけは、アクセスできなくなった時に困りますので、外しておいた方が良いと皆さんは言っていますね。
3.こまめにバージョンアップを行う
最後は、wordpress本体のバージョンアップは、基本的に早めに実施する事。いろんなセキュリティ対策のためにバージョンアップを実施しております。
最初は不安定な場合も懸念され、よくちょっと待ってから実施した方が良いと言われます。しかし、セキュリティ向上のために実施するのですから直ぐに実施しましょう。
仮に不具合が有ったとしても、即時対応してマイナーバージョンアップが行われるので、しないよりはした方が絶対に安心です。
自分の場合は、自動アップデートが掛かるように設定してあります。新しいバージョンがリリースされると、バッチで処理されて自動的にアップデートされております。
また同様に、wordpress本体がバージョンアップされると、Pluginもアップデートされますので、こまめにアップデートを実施するようにしましょう。
また、互換性が保証されないような古いものは、できる限り使用を中止し削除するのがベターです。アップデートがされないようなものは、新たに変わるものを探してインストールするのがベターですね。
当たり前の事ですが、意外とタイムリーに実施していない人が多いんじゃないですか。ハッカーは待ってはくれません。
不正アクセスを虎視眈々と狙っていますので、即時アップデートは必須でしょう。
まとめ
今回は、ログインできない事件の影響で、もう一度自分が使用しているwordpressのチェックを実施しました。
実施したのは
- 基本設定チェック
- セキュリティ強化
- バージョンアップ
何だと思うと思いますが、意外とこの基本的な事って実施されて今言事が多いんじゃないんですかね。
特にPluginは便利かなって思って、やたら入れがちですが、実は相性なんかも結構ありコンフリクト(ぶつかり)が発生して、動かなくなったりすることも有るんです。
特に、既にアップデートされていないような古いPluginは要注意ですね。
と言う事で、当たり前の事を当たり前に愚直に実行していく。まるでブログを書く事と同じような事を、サイトのメンテナンスとして実施していかないと、思わぬ時に不具合に見舞われます。
wordpressを使用しているひとは、カスタマイズが出来るから便利と言うことも有りますが、あまりやりすぎるのも不具合の種を蒔くようなものですから、注意が必要です。
基本、自分で何とかできないと、最悪はブログを削除して再インストールになりかねませんのでよく考えてカスタマイズしてくださいね。
最後に、wordpressで自分が良いなと思ったPluginの紹介を以下でしています。ご参考にどうぞ。
https://daini-no-jinsei.jp/blog/wp-plugin/
