サイバービジョンHOME>【重要】WordPressを狙ったブルートフォース攻撃に対する対策について [対象:シェアードサーバー、パワードサーバー]



2013/9/3

【重要】WordPressを狙ったブルートフォース攻撃に対する対策について [対象:シェアードサーバー、パワードサーバー]

お客様各位

皆様におかれましては、
いつも当社サービスをご利用いただき誠にありがとうございます。
このメールはシェアードサーバーとパワードサーバーをご利用のお客様にお送りしております。

お客様が現在ご利用中のシェアード、パワードサーバーについて、昨今、
WordPressに対するブルートフォース攻撃(乗っ取り)が増えております。
つきましては、乗っ取りを予防するための具体的な対応方法についてご連絡いたします。

以下の手順でWordPressの設定ファイル(wp-login.php)に以下のようにアクセス制限をかけることで、乗っ取られにくくなります。
WordPressをご利用のお客様は設定をしていただくことをお勧めいたします。

<シェアードサーバーの場合>
●A. wordpressのwp-login.phpファイルに対して接続元IPを絞る
1. コントロールパネルにログイン
2. 各種ツールを選択
3. 全てのファイルを選択
4. 隠しファイルを表示するにチェック
5. www/htdocs/wordpressに移動
6. .htaccessのプロパティを選択
7. 以下の4行を最下部に追記

<Files ~ "wp-login\.php">
deny from all
allow from <<自分のIP>>
</Files>

<<自分のIP>>の個所は、実際には、123.123.123.123のようになります

8. 実際にブラウザにてお客様環境下にてアクセスできることを確認
9. 実際にブラウザにて他のファイル(例えばindex.php)についてはどこからでもアクセス可能であることを確認

●B. wordpressのwp-login.phpファイルに対してBasic認証をかける
1. コントロールパネルにログイン
2. 各種ツールを選択
3. アクセス制限を選択
4. htdocs/wordpressを選択
5. 任意のIDとパスワードを入力
その時点で、すでに存在する.htaccessが編集され、.htpasswdが新規作成されます
6. 各種ツールに移動
7, 全てのファイル
8. 隠しファイルを表示するにチェック
9. www/htdocs/wordpressに移動
10. .htaccessのプロパティを選択
11. 以下の6行の上下に、<Files>ディレクティブではさむ
<ACCOUNTID>の個所はアカウント名となります。

===変更前===
## begin basic auth
AuthName "the protected directory"
AuthType Basic
AuthUserFile "/usr/home/<ACCOUNTID>/www/htdocs/wordpress/.htpasswd"
Require valid-user
## end basic auth
===

===変更後===
<Files ~ "wp-login\.php">
## begin basic auth
AuthName "the protected directory"
AuthType Basic
AuthUserFile "/usr/home/<ACCOUNTID>/www/htdocs/wordpress/.htpasswd"
Require valid-user
## end basic auth
</Files>
===

12. 実際にブラウザにてBasic認証がかかりログイン可能であることを確認
13. 実際にブラウザにて他のファイル(例えばindex.php)
についてはBasic認証がかからないことを確認

<パワードサーバーの場合>
●A. wordpressのwp-login.phpファイルに対して接続元IPを絞る
1. シェルアクセスでアカウントにログイン
teratermなどでSSH接続をします
2. wp-login.phpがあるファイルのディレクトリに移動
3. vi .htaccess を実施
4. 以下の4行を最下部に追記

<Files ~ "wp-login\.php">
deny from all
allow from <<自分のIP>>
</Files>

<<自分のIP>>の個所は、実際には、123.123.123.123のようになります

5. 実際にブラウザにてお客様環境下にてアクセスできることを確認
6. 実際にブラウザにて他のファイル(例えばindex.php)
についてはどこからでもアクセス可能であることを確認

●B. wordpressのwp-login.phpファイルに対してBasic認証をかける
1. シェルアクセスでアカウントにログイン
teratermなどでSSH接続をします
2. wp-login.phpがあるファイルのディレクトリに移動
3. htpasswd -c .htpasswd AAA
AAAは任意のID
4. vi .htaccess を実施
5. 以下を最下部に追加

<Files ~ "wp-login\.php">
## begin basic auth
AuthName "the protected directory"
AuthType Basic
AuthUserFile "DIRECTORY-PATH/.htpasswd"
Require valid-user
## end basic auth
</Files>

12. 実際にブラウザにてBasic認証がかかりログイン可能であることを確認
13. 実際にブラウザにて他のファイル(例えばindex.php)
についてはBasic認証がかからないことを確認

【お問合せ】
03-6279-3860(平日10:00〜18:00)
support@cvh.jp
株式会社サイバービジョンホスティング(サポート窓口)