FTPパスワードを他者から簡単に推測されてしまうものに設定している場合など、勝手に他者がFTPへログインし、直接ファイルを改ざんされてしまう手口があります。
下記の方法を確認して適切な対応を行なってください。
「 wp-config.php 」のパーミッションは「 400 (r--------)」であるかご確認ください。
「400」とすることで、wp-config.php が外部から「読み取り」「書き込み」「実行」が行えない状態となります。
※ 読み込み専用の設定となりますので、編集を行いたい場合は一旦パーミッションを変更していただき、その後また「400」に設定し直すようにお願いいたします。
ダッシュボード(管理画面)のログイン画面へアクセス制限(Basic認証)を行うことで、セキュリティーの強化を図れます。
制限を行う場合は、アクセス制限フォルダを
/web/WordPressを設置したフォルダ/wp-admin/
にして、アクセス制限を行うことでより強固なセキュリティを行うことができます。
WordPressのテーマやプラグインの脆弱性をつかれて、Webサイトの改ざんが行われる事例が発生しています。テーマやプラグインを利用する際は、下記の事にご注意ください。
※ WordPressの管理画面から検索してインストールできるテーマ・プラグインは公式ディレクトリに登録されています。
※ 公式ディレクトリに登録されているテーマ・プラグインは自動アップデートが可能なため常に最新版が利用できます。
WordPressやMovable Type、Joomla! などのCMSツールなどをご利用の場合は、最新のバージョンをご利用ください。最新以外は脆弱性がある場合がございます。また、CMS本体のみでなく、プラグインやテーマも合わせて最新を利用し、不要なプラグインやテーマは削除してください。
また、バージョンアップを行わずサイトを放置することは、改ざんおよびウイルス拡散に悪用される可能性があります。管理できていないサイトは、閉鎖を検討ください。
同件については、IPA(情報処理推進機構)からの注意喚起もご一読ください。
ヘテムルではフォルダ、ファイルのパーミッションを 以下の値での設定を推奨しております。
HTML・画像ファイル | 604 | rw----r-- |
---|---|---|
CGIの実行ファイル | 700 | rwx------ |
CGIのデータファイル | 600 | rw------- |
.htaccessファイル | 604 | rw----r-- |
フォルダ | 705 | rwx---r-x |
パーミッションの設定を「777 (rwxrwxrwx)」や「666 (rw-rw-rw-)」などに設定されている場合は、「誰でも書き込める」設定となっているため、改ざんが行われる可能性がございます。ご確認の上、上記の値に変更してください。
また、特に下記の点につきましてご注意くださいますよう、お願いいたします。
改ざんはお客様のFTPやCMS管理画面のパスワードが特定されることにより発生することもございます。
パスワードは推測されにくいものへ変更していただき、さらに定期的にご変更していただくことで、セキュリティーが向上いたしますので、随時ご対応のほどお願いいたします。
サーバーへのファイルアップロードは、FTP接続ではなく、FTPS、SSH、heteml FTPを使ってサーバーへ接続を行ってください。
FTPソフト、SSHソフトについては下記ページもご確認ください。
お客様のFTPサーバーに、複数IPから接続されてサイトを改ざんされているケースも多くみられます。このため、.ftpaccessを使い、FTP接続元を制限してください。
.ftpaccessについては下記ページもご確認ください。
ヘテムルのバックアップオプション、またはバックアップツールを使って定期的にバックアップを取ることで、万が一改ざんにあった場合でも元の状態に戻すことが可能になります。
7世代分のデータを自動で保存する『バックアップオプション』を月額700円(税抜)にて提供しています。Webサイト運営において、FTPの誤操作や悪質なWebサイトの改ざんなどといった予期せぬトラブルによるデータ破損・消失被害を防ぐために、データバックアップは欠かせないものとなっています。
ヘテムルのバックアップオプションでは、7世代分のデータを容量無制限で保存し、データが必要になった時にいつでもアクセス・ダウンロードをすることができます。復元が難しかったWordPress等のデータベースも、ワンクリックで復元できます。
ヘテムルのブログにて、WordPress記事バックアップの取り方をご紹介しています。
WordPressをご利用の方はこちらの記事をご参照ください。
WAF(ウェブアプリケーションファイアウォール)はこれまでのファイアウォールなどでは防御できなかった攻撃(不正なアクセス)を検知しブロックする機能です。
コントロールパネル内、「WAF設定」よりドメインごとにWAFをON/OFFで切り替えができます。
WAFについての詳しい説明は下記URLをご確認ください。
ファイルのアップロードはお客様のパソコンから行われます。
お客様のパソコンがウィルスに感染をしている場合は、お客様のパソコンからFTPのパスワードなどが盗まれる可能性もございます。
ウィルスチェックソフトにて、定期的にウィルスチェックを行っていただきますようお願い申し上げます。