WordPressのセキュリティ対策のため、海外旅行先からのブログ更新には注意しよう

ご存知の通り、WordPressをターゲットにしたサイト改竄事件は８０００を超えるサイトが対象になり、一個一個の改ざんは微々たる物でしたが、一度に起きた改ざんニュースとしては過去最大の規模のものになりました。

原因自体は、WEBサーバーに置かれたファイルのパーミッションが不適切だったのと、そのファイルを利用したシンボリックリンク攻撃であり、WordPressは直接関係ありませんでした。しかし、攻撃対象になったのがWordPressであったために、ワードプレスという単語のイメージはダウンしたことでしょう。

このような攻撃のほとんどは海外のスパマーのものであるため、WordPressサイトをホストするサービスでは、国外のIPアドレスの接続を制限するというフィルタ設定の導入が始まっています。

さくらのレンタルサーバでは、プロトコルベースで、FTP、SSH、SMTP、WebDAVが国外IPからの接続はデフォルトでは制限され、HTTP/HTTPSの場合はURLベースで、/wp-admin/、/phpmyadmin/、wp-login.php、mt.cgi、admin.cgi、php.cgiといったアクセスが制限されます。

このことはつまり、例えばゴールデンウィーク期間中に海外旅行に行って、旅行中にとった写真をホテルのwifiを利用してFTPアップロードしたり、管理画面に接続してブログ記事を書くといったことができなくなることを意味します。

同じような対応をシックスコアでも実施しており、SIXCORE自体のサーバー管理ツールの設定で、国外IPからの接続のON/OFFを設定できます。

海外でブログを行進する予定のある人は予め設定をOFFにしておくか、旅行先でブログ管理画面を立ち上げる前に、SIXCOREのサーバー管理ツールで編集の間だけ国外IP接続制限をOFFにして利用しましょう。

試しに設定をONにして、契約しているEC2のシンガポールリージョンからWordPress管理画面のURLにアクセスしてみると、403Forbiddenを返却しました。
[perl]
[root@ip-10-***-***-196 logs]# wget http://(servername)/wp-admin
–2013-09-04 15:19:59– http://(servername)/wp-admin
Resolving toda.sg… 219.94.200.51
Connecting to toda.sg|219.94.200.51|:80… connected.
HTTP request sent, awaiting response… 403 Forbidden
2013-09-04 15:20:00 ERROR 403: Forbidden.
[/perl]

また、管理画面ではなくても、文字列ベースでwp-adminをURLに含んでいると403になることを確認しています。
[perl]
[root@ip-10-***-***-196 logs]# wget http://(servername)/hoge/wp-admin
–2013-09-04 15:20:45– http://(servername)/hoge/wp-admin
Resolving toda.sg… 219.94.200.51
Connecting to toda.sg|219.94.200.51|:80… connected.
HTTP request sent, awaiting response… 403 Forbidden
2013-09-04 15:20:45 ERROR 403: Forbidden.
[/perl]

それでは、よい海外旅行での思い出を。

(追記)
Googleウェブマスターツールのfetch as googleにて、urlにwp-adminを含んでいる場合、クローラーの取得ステータスがエラーになる事象を確認しました。

おそらくgoogle側で、管理ツール系のurlを誤ってインデックスさせないための処置が入っているものと思われます。