5月, 2014年

uploads の移動

2014-05-10
uploads の移動

「 uploads 」ディレクトリは管理画面からアップした画像の保管場所です。そして標準のままで運用すると「 http://www.wordpress-security.jp/bi400/ti200/uploads/ 」ディレクトリにアップされます。そしてソースにも記述が入ります。オトリの「 wordpress 」ディレクトリを設けているため、オトリへ画像が保管されるように設定します。趣旨としては「 /bi400/ti200/ 」ディレクトリを秘密にする仕上げ作業といったところです。

ちなみに WordPress の管理画面を使わずに FTP で画像をアップすることも方法として考えられます。ただし FTP を使うための管理が増えます。編集スタッフが多い場合は、パスワード管理など管理する工数が増えるため WordPress 管理画面を使うことをオススメします。なお、改ざん復旧の現場では「スタッフが多く細かいところまでは目が届かない」という声も。管理する工数が増えれば必然的にセキュリティホールになりやすく、支障がない限り制限を行ってください。

概要

オトリの「 /wordpress/wp-content/ 」ディレクトリに「 uploads 」ディレクトリを移動します。移動したら「 bi400/wp-config.php 」ファイルを変更し、アップロード時にオトリに保管するよう設定します。

なお、注意点としては、アップロード時に相対パスで表示されてしまうため、記事本文中に貼り付けるときは URL を修正する必要があります。運用する際はこちら注意してください。

手順

「 /wordpress/wp-content/ 」ディレクトリに「 /bi400/ti200/ 」の「 uploads 」ディレクトリを移動します。

「 bi400/wp-config.php 」に以下を「追記」します。

define( 'UPLOADS', '../../wordpress/wp-content/uploads' );

wp-config.php

ちなみに、アップロード時に相対パスで表示されてしまうため、記事本文中に貼り付けるときは URL を修正する必要があります。

管理画面

作業が完了したらスタイルシート、その他を移動します(次の記事に進んでください)。

関連リンク

レジュメ: WordPress 隠ぺい方法 完成図 : 隠ぺい方法はこちらからスタートしています。
概要 : wp-config.php を大公開! 完成時の設定
wp-config.php の編集

オトリ WordPress ディレクトリを準備する

2014-05-07
オトリ wordpress

スタイルシートやアップした画像は「 wp-content 」ディレクトリに保存されるため、ソースには URL が入ります。そして「 http://www.wordpress-security.jp/bi400/ti200/ 」ディレクトリは公開することになります。ただし「 wp-admin 」や「 plugins 」というセキュリティで重要なディレクトリは「 si300 」、「 ki100 」と秘密にしてあるため、「 ti200 」を公開してもリスクはありません。そしてオトリの「 wordpress 」ディレクトリを設けることは、隠ぺいの多層化や補強という趣旨です。

なお、当社で受託した改ざん被害の復旧後(予防策も含む)にアクセスログを観察すると、ハッカーはちょこっと叩いたり、検索結果から叩いたりし、ボロがなければさっさと撤収します。 3、4 回叩いて検証し、二度と来ません。つまりいろいろと対策してある(改ざんは簡単にできない)とわからせることは重要であり、あえてリアルに再現したオトリを作ることには効果があります。

概要

オトリを本物のように再現し、さらに改ざん不可の状態にします。まずは空のオトリファイルを設置します。またオトリの「 wp-admin 」ディレクトリと「 wp-includes 」ディレクトリを設けてアクセス制限を施します。

なお、隠ぺい前のディレクトリが「 wordpress 」であればオトリは「 wordpress 」と、もし「 blog 」であればオトリは「 blog 」とします。これで画像の URL が同じになるため、過去記事で指定している画像の URL を変更する必要がなくなります。

ちなみにオトリの「 wp-content 」ディレクトリにスタイルシートや画像を保存します。そしてこのディレクトリについては次の記事で加工します。

手順

オトリの「 wordpress 」ディレクトリを作成し、「 license.txt 」、「 readme.html 」、「 readme-ja.html 」を「 si300 」からコピーして設置します。

その他の「 wp-config.php 」といった php ファイルは、下記内容の php ファイルを作成します(ダミーです)。また下記 .htaccess ファイルを設置します。

【 php ファイル】
<?php
?>

【 .htaccess ファイル】
<files wp-login.php>
order allow,deny
deny from all
</files>

オトリの「 wp-admin 」ディレクトリと「 wp-includes 」ディレクトリを設けて、下記 .htaccess ファイルを設置します。こちらは一切のアクセスを無効にするため、オトリの php ファイルは設けません。

order allow,deny
deny from all

オトリの「 wp-content 」ディレクトリを設置したら、次の記事に進みます。

関連リンク

レジュメ: WordPress 隠ぺい方法 完成図 : 隠ぺい方法はこちらからスタートしています。
概要 : wp-config.php を大公開! 完成時の設定
wp-config.php の編集

Copyright© 2014 WordPress セキュリティ対策デモサイト - 隠ぺいによるセキュリティ対策 - All Rights Reserved.
オレンジセキュアサービス株式会社
千代田区神田佐久間河岸70 第二田中ビル5F
www.orange-ss.com