HOME  /Synology
 /WordPressのセキュリティ対策
2020年07月01日

WordPressのセキュリティ対策

2017年の3月にこのサイトが改ざんされました。

原因はWordPressのセキュリティホールをついた攻撃でこのサイトだけでなくかなりのサイトが改ざんされたようです。

Webの記事

原因はこのサイトがWordPressのVer4.7.1を使っていた為で、このバージョンでは表示されたページである操作をするとWordPressのユーザ認証なしにコンテンツとURLの改ざんができてしまうセキュリティホールがあったようです。

サイトの復旧は下記方法で実行しました。

①コンテンツ

WordPressのレビジョン管理から復旧させましたた。

②URL改ざん

URLの復旧はマニュアル操作で復旧させました。

当然、今後この手の改ざんが起こらない様にWordPressのバージョンは4.7.3の最新版に更新しました。

 メモ

最近のWordPressは危険なバージョンが発見されると、自動でWordPressを更新してくれるようになったので、この様な問題は起こらなくなったと思います。

 

1.どれ位アタックがあるか?を確認する

WordPressにどれ位アタックがあるか?は下記プラグインで確認できます。

1-1.「SiteGuard WP Plugin」のインストールと有効化

プラグインの新規追加画面で「SiteGuard WP Plugin」で検索します。

■今すぐインストールを実行後、有効化します。

このプラグインはログイン画面もデフォルトで変更してしまうので、その設定を元に戻します。

 

1-2.「SiteGuard WP Plugin」の設定の変更

①「ログインページ変更」を実行します。

通常管理画面に入るには「wp-admin」で入りますが、これをこの画面の様な形に変更する画面です。

OFFにし「変更を保存」を実行します

②「画像認証」を実行します。

ログインページ等にひらがなを入力させるBOXが表示されます。

OFFにし「変更を保存」を実行します

以上で通常をWordPressのログイン画面になりました。

 

1-3.どれ位アタックがあるか?の確認

SiteGuard → ログイン履歴」を見ると確認できます。

 

1-4.SiteGuardの良い所

「SiteGuard」の良い所は、ログイン履歴が見れる以外にWordPressやプラグインの更新バージョンがある時にメールで知らせてくれるところです。

SiteGuard → 更新通知」を見て下さい。

 

1-5.SiteGuardで絶対、やってはならない事

SiteGuard → XMLRPC防御」を開いて下さい。

■XMLRCを無効化すると、WordPressが動かなくなります。

 XMLRCを無効化してしまった場合の復旧方法

「XMLRCを無効化」を実行すると「.htaccess」に変更が加えられた結果、WordPressが動かなくなります。

「.htaccess」を開いて、「SiteGuard」が書き込んだ所を削除して下さい。これで復旧します。

 

2.WordPressに2段階認証を設定する

「SiteGuard」でもログインのセキュリティ対策はありますが、「Google Authenticator」の方がお勧めです。

利用しているスマホに「Google認証システム」をインストールします。

 

2-1.2段階認証の設定

①プラグイン「Google Authenticator」をインストールして有効化します。

プラグインの新規追加画面で「Google Authenticator」で検索します。

■今すぐインストールを実行後、有効化をします

 

②ダッシュボードの「ユーザ→あなたのプロフィール」を開く

メニュの「ユーザ→あなたのプロフィール」を開きます

■プロフィールの中に「Google Authenticator」のメニュが追加されます。

 

③Google Authenticator Settingsの各項目を設定します。

プロフィール画面の中に下記項目が追加されます。

■「Active」にチェックを付けます。

■「Relaxed mode」にチェックを付けます。

これはサーバとスマホの時刻が少しずれてもOKにするモードです。

この設定はスマホのコードが変わっても3分以内ならOKなので慌てずにログインできます。

■「Description」に任意の名前をいれます。

これはデバイスの2段階認証アプリに表示される名前です。

英数字でどのアプリか分かる名前を付けて下さい

■「Show/Hide QR code」ボタンを挿入するとQRコードが表示させるので、スマホの2段階認証アプリで読み込みます。

Google認証システム」の画面で+ボタンを挿入しQRコードを指定して読み込みます。

■最後に「プロフィールの更新」で終了します。

以上で設定は終了です。

 

4-2.ログインの仕方と障害対策

WordPressのログイン画面画面が下記に変更されます。

ログイン方法

スマホに表示された6桁のコードを「Google Authenticator code」欄に入れてログインします。

 メモ

上記画面は「Google Authenticator」がインストールされていると表示されます。

正しく機能しているか否かは間違ったコードを入れて確認してください。

 

ログインできない場合の対策

当該サイトの「wp-content→plugins」フォルダの中にある「google-authenticator」の名前を変更します。

すると2段階認証がないログイン画面になりますので、ログイン出来るようになります。

 

以上で主要システムの2段階認証が完了しました。

以上でこのドキュメントの説明は完了です。

関連ドキュメントはメニュの「Synologyタブ」か下記の関連記事一覧から探して下さい。

又、このサイトには、Google広告が掲載されています。

この記事が貴方の参考になりましたら、広告もご覧頂ければ幸いです。


<関連記事一覧>

「synology」に関連するドキュメントを表示しています。尚、このページネーションはJquryで制御しています。

WordPressの稼働環境を理解する

WordPressを構築した後、URL変更をしたい等のニーズが発生しますが、この時に重要なのはWordPressの稼働環境を理解する必要があります。ここでは「WordPressの稼働環境」と「MariaDBの中の構造」を解説しています。

FileStationで約30分掛かるコピーを数分で終わらせる方法

Synologyサーバで大量のデータをコピーすると数十分の時間が掛かる事があります。これを数分以内でコピーする方法を解説しています。

PHP7.3にしたらエラーになる(対策)

「PHP7.0」から「PHP7.3」に変更したや、画面が途中で表示されないという問題が発生しました。この時に対応した内容を紹介しています。

SSL証明書のエクスポート/インポート

自宅や職場のLANの中に「複数台のSynologyサーバ」があり、且つ、それらをhttpsでアクセスしたい場合に、SSL証明書をどうすれば良いか?を解説しています。

NTT光でWEBサーバがアクセスできない障害対策

私の自宅は2019年末に「IIJMIO光」から「so-net光プラス」に変更しました。その結果、外部からWebサーバにアクセス出来ないという障害が発生しました。これにどう対応したか?の履歴が記載されています。

Synologyの仮想ホスト機能を使って2台目のWebサーバを立ち上げる方法

SynologyのDSMで80/443以外のポート番号を使ったWebサイトを構築する方法を解説しています。

プログラム「Search-Replace-DB」でWordPressのURLを変更する方法

SynologyでWordPressのURL変更を「Search-Replace-DB」で行う為には、ポート番号指定でDBを見に行く必要があります。ここではこの使い方を解説しています。

Photo Stationの写真を公開WEBサーバとして利用する方法

アルバムを公開アルバムにするとPhoto Stationで公開写真WEBサイトを構築する事ができます。更に、このサイトを「検索エンジンにインデックスさせる」と更に公開範囲が広がります。ここでは公開アルバムに関連する設定を解説しています。

スマホ写真をPhoto Stationに自動アップロードする方法

スマートデバイスの写真を「DS Photo」を使ってPhoto Stationにアップロードする事ができます。アップロード方法には①バックアップコマンド②アップロードコマンドがあります。①を使うと写真を撮った段階で自動的にアップロードすることが可能です。

DS Photoの基本を理解する

Photo Stationにはスマートデバイス専用のアプリケーションが用意されています。これがDS Photoです。
ここではこの使い方を解説しています。

個人用Photo Stationとは

Photo Stationは基本のPhoto Station以外にDSMユーザ毎に個人用Photo Stationを作成する事ができます。
ここでは個人用Photo Stationの作成方法と使い方を説明しています。

Photo Stationの写真を特定の人達で共有する方法

Photo Stationの基本は「公開写真Webサーバー」です。ここではこれを特定の人達で共有する方法を解説しています。

Photo Stationの基本を理解する

Synologyの「Photo Station」パッケージを利用するとスマホやデジカメで撮影した写真をNASサーバの中に保管をして色々な人と共有する事が可能になります。ここではこのPhoto Stationの起動方法と「Photo Station」用語を解説しています。

Synology NASとFTP接続をする

FTPの定番ソフトであるFFFTPを使って、SynologyのNASと接続する方法を解説しています。また対象は暗号化なしではなく、SSL証明書を使ったFTPS接続のケースになります。

iOSデバイスでDNSサーバを指定する方法

iOSデバイスのWi-Fiの設定にDNSサーバを指定する方法を解説しています。

Synologyのアプリケーション更新で障害が発生した時の対策

Synologyを使い始めてから何回かアプリケーション更新後に障害が発生しました。その時にはバックアップからアプリケーションを戻しますが、その戻し方を解説しています。

SynologyのPhoto Stationの障害対策

SynologyのPhoto Stationを利用した時に発生したエラーとその対策を解説しています。

AndroidデバイスでDNSサーバを指定する方法

AndroidデバイスのWi-Fiの設定にDNSサーバを指定する方法を解説しています。

SynologyのDSMを2段階認証にする

SynologyのDSMに対するアタックの見方DSMの管理者を2段階認証にする方法を解説しています。

MariaDBとphpMyAdminのインストールと設定

SynoloigyのDSM6.1からMariaDB5とMariaDB10の2つのDBがリリースされました。ここではMariaDB10とこのDBをアクセスするphpMyAdminの設定方法を解説しています。

Dynu.comから無償のドメイン名を取得する方法

Synologyサーバに2つ以上のDDNSを使う場合はSynology以外の無償DDNSサイトから取得する必要があります。またDDNSなら何でも良いのではなく、URLで更新できるDDNSでないとSynologyでは利用できません。ここでは『Dynu.com』社のDDNSの取得方法と設定方法を解説しています。

Let’s Encryptの無償のSSL証明書の取得方法

SynologyのDSMではVer6の途中から無償のSSL発行サイトのLet’s Encryptをサポートし始めました。しかし操作はマニュアルを見てもわからないので色々試した結果を解説しています。

NO-IP.comから無償のドメイン名を取得する方法

Synologyサーバに『NO-IP.com』のDDNSを利用する応報を解説しています。

phpMyAdminのセキュリティ対策

phpmyadminのセキュリティ対策として①phpMyAdminを別名にする方法②phpMyAdminをrootでアクセスできなくする方法
③phpMyAdminアクセスをローカルに限定する方法を解説しています。

Synology にWebサービスを立ち上げる。

SynologyのNASにWebサービスを立ち上げると、WordPressを使ったWebサイトや、EC-CUBEを使ったECサイト等を立ち上げる事ができます。本ドキュメントはWebサービスの立ち上げ方、仮想ホスト機能、パーソナルWebの機能について解説しています。

Synologyの仮想ホスト機能を使ってドメイン名だけでアクセスする方法

WordPressをインストールするとディフォルトではサイトURLはドメイン名/WordPressフォルダになります。これをドメイン名だけにする為にSynologyの仮想ホスト機能を使います。本ドキュメントはこの使い方を解説しています。

phpMyAdminを使ってDBをマニュアルバックアップする方法

WordPressの動作環境を変更すると、DBをダイレクトに変更しなければならないケースがあります。このドキュメントはphpMyAdminのエクスポートとインポートを使って修正した事例を紹介しています。

mydns.jpから無償のドメイン名を取得する方法

無償DDNSのDDNSサイトのmydns.jpからドメイン名を取得する方法を記載しています。このサイトはIPアドレスの通知にクエリーパラメータ方式も利用できる無償のDDNSサイトなので、IPv6にも対応したDDNSサイトです。

Synology NASに自証証明書でHTTPSアクセスをする方法

Synology のサーバをhttpsでアクセスする為には、サーバ側にSSLサーバ証明書を入れる必要があります。本稿では自証証明書の作成方法からWindowsPCへの証明書の登録方法を解説しています。

Synology NASとVPN接続をする

synologyにVPNで接続する方法を解説しています。VPNはPPTPとL2TP/IPsecを解説しています。またWindowsでL2TP/IPsecを使う場合はレジストリを変更する必要があります。この辺も解説しています。

QuickConnectでSynologyサーバをアクセスする

QuickConnectは自宅にあるSynologyのNASサーバが常時Synologyのサイトと接続されている環境を使ってインターネットからアクセスする方法です。この方法はルータの設定変更を必要としないのであまりネットワークに詳しくない人でも利用できる特徴がありますが、利用できるのは特定アプリケーションのみです。

synologyのDSMの更新

SynologyのNASのOSはDSMになります。このドキュメントはDSMの更新方法について解説しています。

無償クラウド(Google Drive)へのバックアップとリストア

ここではSynoligyサーバを「Hyper Backup」アプリケーションで、Googleドライブにバックアップ/リストアする方法を解説しています。

Synologyサーバ間のバックアップとリストア

Synologyを複数台持っている場合は、Synology間でバックアップを相互に持たせる事ができます。ここではその方法を解説しています。

mysqldumpでMariaDBを定期的にバックアップする方法

SynologyのMariaDBから、mysqldumpを使ってDBを定期的にダンプする方法と、それを利用してWordPressを過去の時点に戻す方法を解説しています。

SynologyをNASとして使う為の設定方法

SynologyのNAS機能に関連するメニューは①ファイルサービス、②共有フォルダ、③グループ、④ユーザがありこれらの関連性を解説しています。また利用権限は各々のメニューの中でも設定できるため誰に何の権限を与えたか?が判りずらい為、権限設定の考え方の例を解説しています。

Synologyに固定IPアドレスを設定する

Synologyの自動セットアップはLAN上のDHCPサーバから割り振らてたIPアドレスが割り振られています。本稿ではこれを固定IPアドレスに変更する方法と、DSM(DiskStation Manager)にアクセスする為のポート番号の設定を解説しています。

DSM6系の画面をカスタマイズする

DSM(DiskStation Manager)のログイン画面をカスタマイズする方法を解説しています。これを使う事により企業特有のログイン画面が作成できます。

DSM6系の画面の基本操作を覚える。

SynologyのDSM6の基本画面とコントロールパネルの基本的な使い方を解説しています。

SynologyのNASのセットアップ方法

SynologyのNASは独自のDSM(DiskStation Manager)というOSで動いております。私が経験したのはDSM4、DSM5を経由し、現在はDSM6を利用しています。どのバージョンでも操作は基本的には変わりません。

Synology NASをWebDAVでアクセスする方法

Synology サーバとWindowsPCをWebDAV接続すると、インターネット環境やローカル環境からアクセス権限を持った総てのフォルダがローカルフォルダと同様に利用できるようになります。ここではこの方法を解説しています。

SynologyのWordPressパッケージをインストールする

SynologyのWordpressパッケージをインストールする方法を解説しています。

SynologyのDDNSでサーバをアクセスする方法

Synology のNASをインターネットからアクセスする方法としてDDNS(Dynamic DNS)を利用する方法があります。本稿ではDDNSにSynologyのDDNSを利用する方法と、インターネットルータへのポート番号設定事例を紹介しています。

ローカルPCからドメイン名でWordPressにアクセスする方法

SynologyのNASにWordpressを インストールしてWebサーバを構築する場合、ローカルPCからもURLでアクセスできる必要があります。この解決方法にSynologyのDSM Serverを使う方法を解説しています。

日本語WordPressをインストールする

SynologyのNASに日本語版WordPressをインストールするやり方を解説しています。複数のWordPressも同一手法で稼動させることができます。