wordpressをドメイン直下にインストールするのはなぜ危険と言われているのでしょうか?
セキュリティを強化するプラグインや、パーミッションの設定をしっかりやれば問題無い様に思えるのですが...
何方様かご教授頂けませんでしょうか?
宜しくお願い致します。
気になる質問をクリップする
クリップした質問は、後からいつでもMYページで確認できます。
またクリップした質問に回答があった際、通知やメールを受け取ることができます。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
回答3件
0
もう解決済み+答えは出ているのですが、ちょっと追記として覚えておいていただきたいので。
一応、ドメイン直下か否か、という点に関しては他の回答者の方と同じですが
「OSSである以上、構造は誰でも知ることができる為、インストールするディレクトリによるセキュリティ強度は全く変わりません」
ディレクトリ構造を改変して撹乱(?になるかくらいですが)する方法もありますが、WordPressを使用しているか否か、が分かればどうとでもでき(これも結構簡単に分かる)
かつ、動かすことができないファイルまで動かすような魔改造を行ったWordPressは更新でエラーが出るため、更新を行わないといった本末転倒なことをしているケースも少なくない。
(※特定のディレクトリ内にそのファイルがなければ更新がうまくいかない)
セキュリティを強化する上で出来ることはやっておくべき
とのことで、ちょっと以前「導入時のセキュリティ対策」についての質問があったので、そちらを紹介しておきます。(若干手前味噌なので恐縮ですが)
最低限これだけはやっておこう、という対策は書いてあるので、一度目を通していただければと思います。
https://teratail.com/questions/35940
意外と多い、と感じるかもしれませんが、「一般的な」不正アクセスに対応するだけでもこれだけの工程は必要になります。
実際、Web上に出回っているWordPressに関するセキュリティ情報はちょっとお粗末なものが多いので、
セキュリティ関連の方の話でなければ、あまり真に受けないほうが良いです。
・ユーザーIDはadminから変えておけ、だの(全く無意味※リンク先参照)←(かなり昔のverでは強制的にこのIDになったそうですが)というかそもそもこういうIDを使っていること自体……
・ユーザーID1は使うな、というのも実際どうかと思う(サイト内の全ユーザーを検索するのは非常に簡単+初期ユーザーのみ、WordPress上から大文字・すべての記号を使ったIDが作成できる※DBを直接編集すればこの限りではない)
リンク先の中で、結構盲点なのが
xmlrpc.phpへの不正アクセスです。wp-admin,wp-login.phpへの直接アクセスをブロックしていたり、ログインURLを変更していてもxmlrpc.phpからバイパス可能です。
また、リンク先では書いていませんが、ログイン時の認証キーを追加できるcaptcha系のプラグイン、Stealth Login Pageなどのプラグインもあるに越したことはないかなとも思います。
ご参考までに。
投稿2016/06/29 08:28
総合スコア700
0
フロントエンドエンジニアの方からお聞きした話
想像ではありますが、ドメインを総当りするボットが、サイトのHTMLを勘案せずに(スクレイピングなど手間のかかることをせずに)アクセスしやすい(ファイルの場所を類推しやすい)から、という趣旨だったのではないでしょうか。
下記は設定ファイルへの直接アクセスになりますが、ログインの試行や、脆弱性が出たプラグインなどに直接アクセスすることが(比較的)容易だから、ということかと思います。
example.com/wp-config.php example.com/wp/wp-config.php example.com/wordpress/wp-config.php
ドメイン直下でなければ問題が無い、という話でもないので、セキュリティに気をつけるのはどこでも同じと思います。
【セキュリティの意識が高まるwordpressのプラグイン「crazy bone(狂骨)」 | うえせいWP.net by |合同会社うえせいや【大阪府堺市】】
http://www.uesei.net/2532
【WordPressのログイン履歴を保存するプラグイン「狂骨」を使ってみた ? no rock, no life】
http://nook-music.com/wordpress/2013/06/181935.php
投稿2016/06/29 02:44
総合スコア69458
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
0
ベストアンサー
私も設定をきちんとすれば問題ないと思います。
そうじゃなければ、どこに入れても危険ですよね。
> wordpressをドメイン直下にインストールするのはなぜ危険と言われているのでしょうか?
これをどこで見たのかのソースを提示されては、いかがですか?
そうすれば、的確な回答が得られると思いますよ。
投稿2016/06/29 00:57
総合スコア2208
あなたの回答
tips
太字
斜体
打ち消し線
見出し
引用テキストの挿入
コードの挿入
リンクの挿入
リストの挿入
番号リストの挿入
表の挿入
水平線の挿入
プレビュー
質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/07/01 05:54