
当ブログがお世話になっているレンタルサーバー、ロリポップさんからサイト改ざんに対する注意喚起のメールが来まして、こりゃいかんと思ったので対策しました。
基本的にはロリポップさんのセキュリティについてのお知らせページに従って設定を確認したり変更したりしただけなのですが、どこをいじったのか覚えておくためにも具体的に何をしたのかメモしておきます。
WAFを有効にする
WAF(ウェブアプリケーションファイアウォール)を有効にしました。というか、何で無効になってたんだろう?
パーミッションの確認と変更
確認し、必要に応じて変更しました。
ですが、もしかしたら厳しめに設定しすぎてて、WordPressの動作に支障がでるかも?? 一応、WordPress日本語Codexの該当ページを見て適切に設定したつもりですが、ちょっと不安です。
(もし以前出来ていたことが出来なくなっていたらパーミッションをいじったのが原因かもしれない、ということを覚えておかなくては……)
FTPSでサーバーに接続するようにFTPクライアントの設定を変更
ずっとFTPで接続してました……あぶない。
わたしはFTPクライアントはFileZillaを使っているのですが、ロリポップさんにはFileZillaの設定マニュアルがありませんでした。
ので、Google先生におたずねしたところ、下の記事が見つかりました。
FTPSファイル転送ツール FileZillaファイルジラの設定(ロリポップサーバー編)
知りたい情報どんぴしゃで、とても助かりました。ありがとうございます。
無事設定できたのでひとまず安心なのですが、「明示的な FTP over TLS」と「暗黙の FTP over TLS」の違いが分かりません。
こんど調べてみることにします。
FTPアクセス制限の設定
設定しました。これはロリポップさんのマニュアル通りにやれば超簡単でした。
.ftpaccessの中身がどうなってるのか気になるので、こんど覗いてみよう。
他は確認しただけ
WordPressやプラグイン、ウイルス対策ソフトなどはちゃんと最新版を使ってたので、最新版であることの確認だけしました。
色々調べている過程で、WordPressのテーマに不審なコードがないことを確認するAntiVirusというプラグインがあることを知りました。試してみようかな。
あと、気になっていて時間のあるときに調べたいことをメモしておきます。
- 「明示的な FTP over TLS」と「暗黙の FTP over TLS」の違い
- .ftpaccessの中身
セキュリティ大事だしもっと勉強しないとな……。