ロリポップの大量乗っ取りに学ぶ、WordPressのセキュリティ設定

この前、ロリポップがクラッカーから大規模攻撃受けましたね。
自分のサイトもお客さんのサイトも、たくさんのサイトがロリポに置いてあったので、正直冷や汗モンでしたw
自分には幸運にも直接的に影響ありませんでしたが、念のための確認作業やらで時間取られました。

ロリポが行った対策は色々あるのですが、今後WordPressで構築する際にためになりそうな箇所をメモっておきます。

  • wp-config.phpのパーミッションを400に
  • install.phpのパーミッションを000に
  • .htaccessのパーミッションを604に

いやーしかし、CGIのフルパスとデータベースパスワード変更された時にはどうしたもんかと思いましたぜ…
事態は沈静化してきていますが、うーん、セキュリティは気をつけても気をつけても足りないなあ。

コメントを残す

メールアドレスが公開されることはありません。