質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.62%

  • WordPress

    6930questions

    WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

  • セキュリティー

    447questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

  • Cloud9

    403questions

    Cloud9は、クラウドからのプログラミングが可能になるWebサービス。IDEとしての機能が搭載されており、GitHubやHerokuなど他ツールとの連携も可能です。ブラウザ上で動くため、デバイスに関係なく開発環境を準備できます。

Cloud9で作成したWordpressのセキュリティー対策について

解決済

回答 2

投稿

  • 評価
  • クリップ 2
  • VIEW 249

初歩的な質問で恐縮なのですが、タイトルの件について教えていただけますと幸いです。

まず前提としてWordressをつかっていてセキュリティー面で被害を受ける時は、

① 契約しているレンタルサーバーの管理画面から不正ログインされる
② Wordpressの管理画面から不正ログインされる

大きくこの2つのどちらか(Cloud9の場合は②のみ)になる、という認識であっていますでしょうか?それとも他にも攻撃のパターンなどありますでしょうか?

もし上の認識があっていれば、Cloud9の場合は基本サーバーも稼働させないので、念のため不正ログインされないようにベーシック認証やログインURLを変更するという対応をしようかと考えているのですがこれでは危険でしょうか? (ネット情報収集していたところ完全はない、ということだったのである程度安心できるくらいまでは対策をしたく思っています)

お手数ですがどなたか知識・対応方法を教えていただけないでしょうか?

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

+2

大きくこの2つのどちらか(Cloud9の場合は②のみ)になる、という認識であっていますでしょうか?

それだけではありません。

  • 追加したプラグインの脆弱性を突く
  • WordPressと関係ない、サーバの脆弱性を攻撃して直接サーバに侵入する

などなど、攻撃手法はいくらでも考えられます。

念のため不正ログインされないようにベーシック認証やログインURLを変更する

HTTPSでない場合、Basic認証はパスワードが平文でインターネットを流れるので、基本的に使うべきではありません。せめてDigest認証にしましょう。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/01/17 17:44

    ご回答ありがとうございます!

    いくつか質問させていただきたいのですが、追加したプラグインの脆弱性についてはこまめにアップデートしたり、評価が高くないものなどはつかわないという対応になるかと思うのですが、

    ・WordPressと関係ない、サーバの脆弱性を攻撃して直接サーバに侵入する

    こちらに関しては、レンタルサーバーやCloud9のような外部のサーバーを利用している場合は対応しようがない、という認識であっていますでしょうか??

    まとめるとCloud9の場合は、プラグイン含めてアップデートこまめにする事とDigest認証を導入するの2つが少なくともやっておくべき事になるという理解で合っていますか??

    キャンセル

checkベストアンサー

+1

Cloud9環境以外にも言えますが、すでに回答されている自称のほかにもFTP情報を悪用され
不正ファイルを領域にアップ路度されたり、既存WPファイルが改変されたりといった危険が
考えられます。

サーバーによってはWPのシステムに関する領域(フォルダ)への海外からのアクセスを遮断する
サービスを行っていたり、プラグインでWordpressの管理画面アクセスURLを可変させてくれる物や
ログインユーザー名、パスワードに加え画像認証を追加してくれるものもあります。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/01/22 22:18

    ご回答ありがとうございますm m
    さっそくプラグインは導入してみました、ありがとうございます。

    私の知識不足でお手数おかけしてしまい大変恐縮なのですが、WPのシステムに関する領域(フォルダ)にアクセスされたりする被害は、管理画面を通してではなく別の形というかルート?で行われるという認識であっていますか??

    また「FTP情報を悪用されて不正ファイルを領域にアップ路度されたり、既存WPファイルが改変されたりといった危険」についてなのですが、こちらはCloud9の場合、対策が難しいのでしょうか?


    お手すきの際にご確認いただけますと幸いですm m

    キャンセル

  • 2018/01/23 10:40

    サーバーに直接接続してWPのシステム領域に設置されているphpファイルなどをターゲットにして改ざんなどを行いますので、WPの管理画面経由をする必要がありません。むしろWP管理画面にログインしてから触れるファイルは限られます。

    Cloud9はあくまでもアプリケーションの開発やデータベースなどをクラウド環境で利用できるサービスですので、サーバーに対してのセキュリティーとは切り離してお考えいただいた方が良いと思います。

    FTP情報などは実際にFTPソフトを利用するローカルPCから接続情報を抜かれ悪用されるケースが多いので、サーバーそのもののセキュリティーを上げることはもちろんですが、ローカルPCのセキュリティーや運用ルールも併せて強化していく対策が必要かと思います。

    キャンセル

  • 2018/01/23 16:57

    ご回答ありがとうございますm m

    とてもわかりやすく、対策としてやるべき事をしっかり理解することができました。
    お忙しいところご回答いただき、本当にありがとうございました。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.62%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • WordPress

    6930questions

    WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

  • セキュリティー

    447questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

  • Cloud9

    403questions

    Cloud9は、クラウドからのプログラミングが可能になるWebサービス。IDEとしての機能が搭載されており、GitHubやHerokuなど他ツールとの連携も可能です。ブラウザ上で動くため、デバイスに関係なく開発環境を準備できます。