web-dev-qa-db-ja.com

Phpコードジェット攻撃に対する2つのワールドプレスセキュリティプランの評価

セナリオ:

前にSOにWordPressのPHPコードインジェクションのシナリオを投稿しました。 https://stackoverflow.com/questions/26826082/what-is-the-highly phpファイルの文字列パターンのブロックを効率的に削除する方法

私はそれが私が言及した時間のかかる方法を使用するようにすべてのphpファイルからすべてのインジェクションパターンを削除するまで、それがプラグインクラッシュ、またはlogin/wp-adminを引き起こすことができない原因となります。上記の記事、しかし今までのところ、私はこの欠陥が攻撃者がワードプレスでそのようなコードを注入するためのものであるかどうかわからない。

それにもかかわらず、定期的にきれいなファイルのバックアップのほかに調べた後。私は注射を避けるためにワードプレスのセキュリティ計画を下回っています:

解決策1。ワードプレスの更新計画

        meaning always check out updates wordpress to latest version
        always check out updates making sure plugins to latest version.

解決策2。ワードプレス[php、通常のファイル、フォルダ]の厳密なファイル/フォルダ許可設定

        never allow php file updates on production site, 
        Apache chmod set 
        all wordpress *.php files to chmod 644; 
        all normal files  *.js *.css *.html etc to 755; 
        wp-upload folder set chmod to 755
        rest wordpress folder set chmod to 644; 

これら二つのアプローチのために、

解決策1:(最新のパッチを当てにした最新バージョンへの更新に焦点を当てると、ワードプレス/プラグインがインストールされているときにchmodをデフォルトの許可として残す一方で、脆弱性が修正されます。)

実際には非常に手間がかかるので、世話をするための更新が非常に多くあり、cetainプラグインの更新がwordpressバージョンとの互換性の問題を引き起こすかどうかはわかりません。私のSO投稿にインジェクションを防ぐためのすべてをカバーできるとは思わない。さらに、サイトがすでにインジェクトされていて、更新プロセスを実行する前に信頼できなかった場合、以前に何度も経験したことがあるので、通常プラグインがクラッシュします。しかし、更新計画はワードプレスのセキュリティを強化するための最も一般的な方法ですが、更新中は人による監視とメンテナンスが必要です。

解決策2:(ファイル変更を許可しないようにchmod権限をカスタマイズすることに焦点を当てる)これはwordpressのchmod設定に関するcodexの参照リンクです: http://codex.wordpress.org/Changing_File_Permissions

合理的に見えますが、chmodの過剰保護が機能しているプラ​​グインなどとの互換性がないかどうかをテストする必要があります。特定のプラグインでは機能するために安全でないアクセス許可が必要です。また、権限の設定に従って本番サイトにほとんど変更を加えることができないことを意味します。

それで、このアプローチはWordpressのphpファイルがインジェクトされないようにすることをお勧めします。上記の2つの解決策についてのコメント。

それとも、そのような種類のコードインジェクションと戦うためのより良い計画はありますか?

(人間によるモニタリングの関与が少ない解決策が好ましい。)

1
BOBO

まず、これらの両方(更新と正しいファイルのアクセス許可)はどちらも "OR"の選択でもオプションでもありません。それはあなたがするだけですることです、あなたが遅かれ早かれそうでなければ(たとえかなり遅れたとしても)あなたはそれが原因で問題を抱えることになるでしょう。比較的妥協した環境では、不完全なファイルアクセス権が損なわれる傾向があるので(比較的構成の悪い共有ホスティングのように)、アップデートがより重要であると言います。

第二に、繰り返しがあなたのサイトの感染を経験した場合、その2人はどちらもしませんanything君は。自動スキャナーに悪用されたことが容易に検出されるか、手動で悪用されることを誰かが知っていて継続しているかのいずれかです。thatholeとは何か、それをどのように閉じるかを決める前に、他のセキュリティ対策はほとんど問題になりません。

2
Rarst