ロリポップサーバその後。と、データベースアップデート。

被害範囲が大きかった今回の不正アクセス。利用者のうちの超簡単なIDとパスワードにしている誰かから侵入し、WordPressの重要設定ファイルwp-cnfig.phpを読みとり、データベースの情報を入手、同じデータベースを利用しているユーザに芋づる式に侵入、改変という事の様だ。

なのでWordPressを入れ替えてもデータベースをバックアップと差し替えても駄目、って事なわけね。

今後の対策としては兎に角wp-config.phpのパーミッションは400。WordPressのログインIDはデフォルトのAdminなんてのは絶対に駄目。別な管理者IDを作り、長いパスワードを設定した上でAdminは削除。

他に2つのプラグイン導入。

  • Acunetix Secure WordPress
  • Login LockDown

どんなものか興味を持った方はぜひググって自身で調べて欲しい。調べる事に意義がある。それとデータベースのバックアップは定期的に取る。これで完璧とは言えないがリスクはだいぶ減らせると思う。もっとセキュリティをあげたい場合には普段はWAFを有効にして設定の時にはSSLでの接続、という風に変更するのも良いかも知れない。

さて、今回の事で自身のところも含め色々とやってたんだが、ふと電脳-煩悩のMySQLのバージョンが5.1のままだが、最新のver.5.6が利用可能になっているのに今更ながら気が付いた。しかも最新のデータベースサーバはSSD採用だとぉ?! 調べてみると電脳-煩悩のは比較的初期のサーバ利用なので、色々と作業ついでにSSD採用のサーバ(とMySQL最新版)に移行しちゃおう、うん。

手順はざっと下記のとおり。

 

  1. 現在利用中のデータベースをphpMyAdminでエクスポート
  2. 新サーバー、新Ver.のMySQLでデータベース新規作成
  3. 新データベースにインポート
  4. WordPressのwp-config.phpの書換。
  5. 動作確認後以前のデータベース削除

手順としては簡単。以下注意点をメモっておく。

(1)のエクスポート時に、プラグイン系のテーブルで、且つ使っていない過去のテーブルや新規にやり直しても良いテーブルがあるようならエクスポート対象から外しておく事。私の場合、statpress系を過去に使っていた(今はJetPackに変更)関係で馬鹿みたいにstatpressのテーブルが膨れ上がり、基本のデータベースの10倍程度の容量になっていた(^^; 実際の数字は15MBで済むのが150MBになってたと。一度エクスポートしたらエクスポートしたSQLファイルのサイズを確認しあまりに大きい場合には不要なテーブルが無いか確認した方が良い。プラグイン独自にりようされて膨れ上がっているのかも知れない。16MB以下ならphpMyAdminでそのままインポート出来ると言うのもポイント。

(3)のインポート時にはインポートするSQLファイルが16MB以下ならそのままphpMyAdminでインポートすれば良い。それ以上のサイズがある場合、上に書いたように不要なテーブルをエクスポート対象から外してエクスポートし直す、それでも大きい場合には手動で分割するか、bigdump.phpのようなモノをつかってインポートすると良い。

データベースを新しくしたら(4)でWordPressに利用データベースの切替えを記述しないとイケない。FTPクライアントで接続しwp-config.phpのパーミッションを一旦600にして書き込み可能にして編集。編集箇所はDB_NAME、DB_USER。DB_PASSWORD、DB_HOSTの4ヶ所。プラス確認事項としてもう少し下の方に記述があるテーブル接頭辞があっているか、の確認(まぁ、この場合は問題ないが)。書き換えたら保存し、wp-config.phpのパーミッションを400に戻しておくのを忘れずに。

(5)動作確認して、問題なくWordpressが動作することを確認してから、やっと古いデータベースを削除。仮につまづいても元に戻れるし、エクスポートからやり直せる状況を保って置く事が大事。大丈夫だろうととっとと初期段階で消してしまってどうにもならない状況になるってのは有りがちなミスだ(^^;

そんな感じでテーブルの整理とデータベースを切り替えて見ましたが、多少でも軽くなっていれば良いんだが(^^;

(一応書いておきますが、ロリポップサーバ+Wordpressユーザの方で、これを読んで何が何だかさっぱりな方がテキトーにやって復旧不可能な状況になっても一切責任は取れません(^^; これを読んであぁ、なるほどね、ってなぐらいのスキルの方向けのエントリーです。つか、書かれてある事はそれぞれググれば詳細な開設サイトは幾らでも出てくると思うので、複数のサイトを参考にして自分なりに読み解くぐらいのレベルは最低限必要ですし、自身で調べるぐらいする人じゃないとどーにもならんです、はい(^^; )

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA