ロリポップで運用されているWordpressが軒並み乗っ取りが発生している件で、まぁ、自分は被害は受けてはいないのだけど、長く運用しているブログ達なので折角の機会なので見直しも兼ねてもろもろ対応を確認。これはその記録。
Permissionの確認
まずは2つのPermissionを確認。今回は特にこの2つがまずはポイントになっている模様。特に.htaccess は複数設定されている可能性もあるので、それぞれ確認する必要あり。
- wp-config.php が400になっていること
- .htaccess が604になっていること
ユーザーの確認
今回はWordpressでデフォルトで設定されるAdminユーザーでクラックされたのでは?という事もあり、Adminユーザーやその他不要なユーザーがいないかどうかを確認。
- Adminという名前のユーザーがいないこと
- その他不要なユーザーがいないこと
ちなみにAdminユーザーや不要なユーザーで記述されているエントリがある場合も、他のユーザーに引き継ぎ設定が可能なのでやっておくべし。
ダッシュボードまわりのSSL化
ダッシュボードまわりをSSLに対応をさせる。WordPress HTTPSというプラグインを導入して設定。ロリポップの管理画面にて共有SSLのドメインがわかるのでそれを管理画面で設定。
- ダッシュボードまわりをSSL化
ちなみにログイン画面のURLやらそれに伴う1passwordの設定も変更になるので忘れずに。
FTPまわりの見直し
FTPまわりも重要なポイント。ロリポップはFTPSだけでなく、非SSLのFTPも使えてしまうのが…まぁ、その昔はFTPだけだった気もするし…この辺り念のため整理。
- FTPのパスワードを更新すること
- 更新しておけば問題ないけどFTPSではないFTP接続設定がソフトに残っていないこと
更新まわりを全部アップデート
若干放置気味のブログもあったので、プラグインの更新が少し滞ってしまっているものもあった…のできちんとね。
- WordPressを最新版に更新すること
- プラグインを最新版に更新すること
WP-DBManagerのパスを変更
ロリポップ側から送られてきていた緊急確認の対応でパス変更依頼がきていた。「/home/sites/lolipop.jp/users/***-***/web」となっている場合に変更してね というもの。
そんなもの使っていたかなぁ…と思っていたらWP-DBManagerのDB設定の部分で利用していた。。なのでこの部分を見直し。まぁ、この対応はロリポップ的な対応。
- Database Optionsでパス設定が新しいものになっていること
設定が終わったらついでに、手動でバックアップを実行&DBの最適化の実行もしておいた。