plugins のリネーム

2014-04-26
plugins のリネーム

「 plugins 」ディレクトリにはインストールしたプラグインのプログラムが保管されています。そしてたとえば問題のプラグインの URL を表示するとサーバにファイルをアップロードできてしまうような脆弱性も過去にはありました。ログインせずにウイルスをアップロードできるのですから恐ろしい限りです。そして WordPress の脆弱性情報を見ていると、そのほとんどがプラグインです。破壊力も確率も高いため、WordPress のセキュリティ対策で最も注意したい部分と言えるでしょう。

脆弱性の多くはプラグインの URL を叩いて悪用してしまうものです。標準の構成であれば「 /wordpress/wp-content/plugins/ 」であり攻撃側は既に把握しています。後は問題のあるプラグインのファイル名を指定するだけです。つまり定型文的なプログラムでどんどんアタックするだけです。そして「 plugins 」ディレクトリ名を使わなければ攻撃は届きません。これが名前を変える趣旨です。

なお、プラグインによっては「 plugins 」ディレクトリをソースに書いてしまうものもあります。もし重要ではない機能であればそのプラグインは削除したほうが得策です。ちなみに Twitter などに出力をするような出力系のプラグインばかりであれば「最新版を使う」対策だけで事足ります。そして問題なのは画像をアップロードするような入力系のプラグインです。脆弱性があれば改ざん事故に直結する可能性も。プラグインの信頼性を追求し、使う使わないを判断することも重要ですが、もし入力系を使う場合はソースに「 plugins 」ディレクトリを表示しないよう秘密に管理してください。

概要

「 ti200 」ディレクトリ内の「 plugins 」ディレクトリの名前を「 ki100 」に変更します。「 ki100 」は自由に命名してください。ランダムな英数字の組み合わせにして、推測不可能なディレクトリ名にします。

なお、入力系のプラグインを使っている場合「 ki100 」を秘密にすることは大変重要です。もしディレクトリをソースに書いてしまうプラグインがあれば削除します。もちろん、使う使わないを検討したり、使う場合は最新版を使ってください。

手順

「 plugins 」ディレクトリの名前を「 ki100 」に変更します。また不要なプラグインがあれば、そのプラグインのディレクトリを削除します(削除しておけばアップロードした際に自動的に外れ、設定は不要です)。

「 bi400/wp-config.php 」に以下を「追記」します。

define( 'WP_PLUGIN_DIR', dirname(__FILE__) . '/ti200/ki100' );
define( 'WP_PLUGIN_URL', 'http://www.wordpress-security.jp/bi400/ti200/ki100');

wp-config.php

作業が完了したらオトリの「 WordPress 」ディレクトリを設置します(次の記事に進んでください)。

関連リンク

レジュメ: WordPress 隠ぺい方法 完成図 : 隠ぺい方法はこちらからスタートしています。
概要 : wp-config.php を大公開! 完成時の設定
wp-config.php の編集

Copyright© 2014 WordPress セキュリティ対策デモサイト - 隠ぺいによるセキュリティ対策 - All Rights Reserved.
オレンジセキュアサービス株式会社
千代田区神田佐久間河岸70 第二田中ビル5F
www.orange-ss.com