wp-content の移動とリネーム

2014-04-25
wp-content の移動とリネーム

「 wp-content 」ディレクトリにはプラグインやテーマ、アップロードした画像があります。このディレクトリへの攻撃として「脆弱性のあるプラグインやテーマへの攻撃」があります。たとえば当社サイトのアクセスログを見ると「 /wp-content/themes/timthumb.php 」の記録が数多くあります。そして標準の構成であれば攻撃側は既に把握しているため、プログラムでアタックするだけです。

ちなみに攻撃側は下手な鉄砲も数撃ちゃ当たるで無差別に脆弱性を叩きます。WordPress を使っていないサイトであっても、「 timthumb.php 」を未使用でも、アクセスログにはそのような攻撃の記録が残ります。攻撃はプログラミングの定型文ですので「 wp-content 」ディレクトリ名を使わなければ攻撃は届きません。これが名前を変える趣旨です。

なお、ソースを見ると「 wp-content 」ディレクトリの記述は数多く入ります。前記事の「 wp-admin 及び wp-includes 」ディレクトリと別々にすることで、仮に「 wp-content 」ディレクトリがわかってしまっても「 wp-admin 及び wp-includes 」ディレクトリは秘密にできます。これがあえて移動する趣旨です。

概要

「 si300 」ディレクトリ内の「 wp-includes 」ディレクトリの名前を「 ti200 」に変更します。変更したらひとつ上の「 bi400 」ディレクトリに移動します。そして「 /bi400/si300/ 」の下位に「 wp-admin 」などが収まり、「 /bi400/ti200/ 」が「 wp-content 」となります。

また「 /bi400/si300/ 」ディレクトリにある「 wp-config.php 」を「 bi400 」ディレクトリに移動します。

「 ti200 」は自由に命名してください。ランダムな英数字の組み合わせにして、推測不可能なディレクトリ名にします。

手順

「 wp-content 」ディレクトリの名前を「 ti200 」に変更し、ひとつ上の「 bi400 」ディレクトリに移動します。また「 /bi400/si300/ 」ディレクトリにある「 wp-config.php 」も「 bi400 」ディレクトリに移動します。上図のような構成にします。

移動した「 wp-config.php 」に以下を「追記」します。

define( 'WP_CONTENT_DIR', dirname(__FILE__) . '/ti200' );
define( 'WP_CONTENT_URL', 'http://www.wordpress-security.jp/bi400/ti200');

wp-config.php

作業が完了したら「 plugins 」ディレクトリの名称を変更します(次の記事に進んでください)。

関連リンク

レジュメ: WordPress 隠ぺい方法 完成図 : 隠ぺい方法はこちらからスタートしています。
概要 : wp-config.php を大公開! 完成時の設定
wp-config.php の編集

Copyright© 2014 WordPress セキュリティ対策デモサイト - 隠ぺいによるセキュリティ対策 - All Rights Reserved.
オレンジセキュアサービス株式会社
千代田区神田佐久間河岸70 第二田中ビル5F
www.orange-ss.com