wp-admin 及び wp-includes の移動

2014-04-23
wp-admin 及び wp-includes の移動

「 wp-admin 」ディレクトリと「 wp-includes 」ディレクトリは、WordPress のコアとなるファイルが詰まっています。このディレクトリへの攻撃として「 WordPress コアファイルの脆弱性を狙った攻撃」と「パスワードクラック」があります。そして「 /wordpress/wp-admin/ 」といった標準の構成であれば攻撃側は既に把握しているため、プログラムでアタックするだけです。

なお、WordPress 3.7 からは自動的にバージョンアップされます。そのため「 WordPress コアファイルの脆弱性を狙った攻撃」は対策ができています。ところがとても例外的な事故ではあるものの、2013 年 9 月にシンボリックリンク攻撃で wp-config.php が盗まれ大量改ざん事故が発生しました。またパスワードクラックはよくある改ざん事故原因です。

「 /wordpress/wp-admin/ 」といった標準の構成であれば、攻撃側はアタックするだけです。ちなみにシンボリックリンク攻撃も wp-config.php の場所を事前に把握する必要があり、「 /wordpress/wp-config.php 」という既知の構成だからこそできた攻撃です。そこで「 wp-admin 」ディレクトリと「 wp-includes 」ディレクトリを隠してしまえば攻撃は届きません。隠ぺいすることによって防げる事故は数多くあります。これがあえて標準の場所から移動する趣旨です。隠し方を以下でガイドします。

概要

もともとの位置を「 http://www.wordpress-security.jp/wordpress/ 」とします。このすべてのディレクトリとファイルを「 http://www.wordpress-security.jp/bi400/si300/ 」に移動します。ちなみに FTP ソフトではディレクトリの移動ができません。そのため、パソコンにダウンロードし、編集したものをアップロードします。ここでの作業はパソコン上(ダウンロードしたファイル)の編集になります。

「 /bi400/si300/ 」は自由に命名してください。ランダムな英数字の組み合わせにして、推測不可能なディレクトリ名にします。

Windows のメモ帳で wp-config.php を編集すると文字コードが違うためにエラーになります。TeraPad というフリーのテキストエディタがあります。あらかじめパソコンにインストールしておいてください。

手順

予めダウンロードしておいた「 /wordpress/ 」ディレクトリを「 si300 」という名前に変更し、「 bi400 」ディレクトリ内に移動します。上図のような構成にします。

次に「 wp-config.php 」に以下を「追記」します。「 /bi400/si300/ 」にあります。

define('WP_SITEURL', 'http://www.wordpress-security.jp/bi400/si300');
define('WP_HOME', 'http://www.wordpress-security.jp');

wp-config.php

ルートディレクトリの「 index.php 」を以下のように「変更」します。

変更前
require('./wordpress/wp-blog-header.php');
変更後
require('./bi400/si300/wp-blog-header.php');

index.php

作業が完了したら「 wp-content 」ディレクトリを移動します(次の記事に進んでください)。

関連リンク

レジュメ: WordPress 隠ぺい方法 完成図 : 隠ぺい方法はこちらからスタートしています。
概要 : wp-config.php を大公開! 完成時の設定
wp-config.php の編集

Copyright© 2014 WordPress セキュリティ対策デモサイト - 隠ぺいによるセキュリティ対策 - All Rights Reserved.
オレンジセキュアサービス株式会社
千代田区神田佐久間河岸70 第二田中ビル5F
www.orange-ss.com