レジュメ: WordPress 隠ぺい方法

2014-04-08
WordPress隠ぺい図面

このサイトでは上図を完成図として、初期状態から隠ぺいする手順をガイドしていきます。

WordPress 隠ぺいの概要

○○インジェクションやクロスサイト○○といった脆弱性は隠ぺい策でフォローできません。ここは基本となる対策が不可欠です。そして隠ぺい策の本領が発揮されるのは、ダイレクトな攻撃です。たとえば、パスワードクラックはログイン画面を隠してしまえばアタックを試すことすらできません。またプラグインを直接叩いて悪用する攻撃も隠ぺいによって攻撃を試すことすらできません。なお、隠ぺいによって守りたいのは、ログイン画面を含めた WordPress のシステム全般とプラグイン、テーマです。

このサイトは上図の構成で WordPress を隠ぺいしています(もちろん公開しては隠ぺいにならないため実際のディレクトリ名は違います)。そしてこの設定は WordPress の機能( wp-config.php )だけで隠ぺいしています。WordPress は拡張性に優れた素晴らしいシステムと言えるでしょう。導入時は多少の手直しが必要になるものの、WordPress の機能だけで構築しているためバージョンアップ毎に改修する必要はありません。

概要としては「 bi400 」からはじまるディレクトリが本体です。「 wordpress 」からはじまるディレクトリはオトリであり、画像とスタイルシートを置いています。したがってログインするときは「 wordpress-security.jp/bi400/si300/wp-login.php 」となります。このサイトのソースを見て推測できるのは「 wordpress-security.jp/wordpress/wp-login.php 」です。こちらはオトリのエリアであり、仮にパスワードを知っていてもここからログインはできません。

またプラグインは「 wordpress-security.jp/bi400/ti200/ki100 」です。赤丸のディレクトリです。こちらも推測不可のため、攻撃が届くことはありません。なお、一般的なプラグインが正常に動作するかをテストしたり、問題のあるプラグインの保護策をテストしています。オススメのプラグインではありませんのでそこは注意してください。

ちなみにですが「 wordpress 」からはじまるオトリのディレクトリに画像とスタイルシートを置いています。標準のままの設定では「 bi400 」からはじまるディレクトリの「 themes 」と「 uploads 」を使うことになります。これではソースを見てテーマの場所と「 bi400 」からはじまる本丸の存在が浮き彫りになってしまうためオトリに保管しています。

WordPress 隠ぺいの手順

「 wordpress-security.jp/wordpress/ 」から図のような「 wordpress-security.jp/bi400/si300/ 」などに変更します。FTP で移動はできないため、パソコンにダウンロードして編集し、アップロードする流れでガイドしています。まずはサーバの「 wordpress 」ディレクトリを FTP でダウンロードしてください。ダウンロードが完了したら進んでください。

なお、Windows のメモ帳で wp-config.php を編集すると文字コードが違うためにエラーになります。TeraPad というフリーのテキストエディタがあります。あらかじめパソコンにインストールしてください。

【 隠ぺい方法 】
INTRO. : 概要 : wp-config.php を大公開!
STEP01 : wp-admin 及び wp-includes の移動
STEP02 : wp-content の移動とリネーム
STEP03 : plugins のリネーム
STEP04 : オトリ WordPress ディレクトリを準備する
STEP05 : uploads の移動
STEP06 : スタイルシート、その他の移動
STEP07 : 隠ぺいの総仕上げ

【 セキュリティを補強する 】
STEP08 : ログイン画面のアクセス制限
STEP09 : wp-includes ディレクトリのアクセス制限
STEP10 : wp-config.php のアクセス制限
STEP11 : 非公式のテーマ及びプラグインの削除
STEP12 : ログイン画面の暗号化(https)

【 公開前の準備 】
STEP13 : sftp を利用する
STEP14 : phpMyAdmin の削除
STEP15 : サーバアプリ のバージョン管理

【 アップロードと仕上げ 】
STEP16 : 作業したファイルをアップロードする
STEP17 : 管理者と編集者を別にする
STEP18 : WordPress(プラグイン等も含む)のアップデート

【 その後のメンテナンス 】
STEP19 : バージョンアップとバックアップ

Copyright© 2014 WordPress セキュリティ対策デモサイト - 隠ぺいによるセキュリティ対策 - All Rights Reserved.
オレンジセキュアサービス株式会社
千代田区神田佐久間河岸70 第二田中ビル5F
www.orange-ss.com