ちょっと前にレンタルサーバー会社からメールで連絡があり、「wordpressを至急updateしてください」というものでした。update自体は簡単ですぐに済むお話なんですが、その内容というのが、ブログにアクセスして特殊なコマンドを打ち込むと改竄される恐れがあると言うことです。レンタルサーバーのロリポップでは改竄された人達が多かったようです。
これは、プログラム上での問題でもあるのですが、その対応を速やかに行うかどうかの対応力も必要です。作りっぱなしのサイトや最初だけ作ってもらった人や会社はそのまま放置されると言うことであり、下手したら乗っ取られる可能性だってゼロではありません。
サーバーを管理する人はそれなりに対応をしていく必要があります。
レンタルでも自宅サーバーでも同様です。
レンタルであれば、ある程度会社側でセキュリティは設定されています。自分の中身(コンテンツ)を中心に考えれば良い訳ですが、自宅サーバーであれば、すべてのセキュリティを自分で設定して様子を見なくてはなりません。
Apacheの設定やIptablesのファイヤーウォール、その他メールサーバーの対応など常にログを見ながら処置をしている、もしくは新しいセキュリティツールを導入するとかになると思います。
ただ、自宅サーバーを運営されている方々は私も含め、そのような対応するのも好きなのではないでしょうか。分からない事もネットで調べ、ソフトを導入、設定し、その後の確認をするといった一連の作業が好きなのかも知れません。
今回の問題は、wordpressのプログラム的な問題なので、サーバー設定としては難しい話ではありませんでしたが、何かしらの処置をしておく必要があります。
1.自分のサイトには怪しい攻撃はされていないか?
2.海外からのアクセスがどのくらいあるのか?どこの国が多いのか?
3.wordpressの余計なテーマ、プラグインは削除してupdateは早めに行う。
4.wordpressに.htaccessを置き、見合ったアクセスに対応させる。
5.wordpressのパーミッションを強くする。(セキュリティを上げる)
といった対応は決して難しくないのでやっておいた方が良いと思います。
このサイトでは、USA、China、Canadaからのアクセスがとても多い状況です。
もちろん海外向けにサイトを作っている訳ではありませんので、jpだけ許可するような設定にしようと考えています。先ずは自分のサイトの状況確認から始めてください。
後は、.htaccessの設定方法やどのファイルのパーミッションを変更したらいいのか?等はネットで調べると丁寧に解説してくれている親切な方々がいます。