ちいさなめプロジェクト » インストール http://www.chiisana.me/blog IT活用支援。ちいさなめプロジェクトブログ。 Tue, 25 May 2010 05:40:26 +0000 http://wordpress.org/?v=2.9.2 ja hourly 1 Wordpressテーマに仕込まれるワームについて http://www.chiisana.me/blog/security/wordpress.html http://www.chiisana.me/blog/security/wordpress.html#comments Sun, 23 May 2010 06:25:23 +0000 pavo http://www.chiisana.me/blog/?p=155
  • Wordpressのインストール
    • ]]>     「WebTecNote」さんが
    「自作でないテーマを1度でもアクティブにした事がある方は、今すぐに怪しいコードがfunctions.phpに仕込まれていないかチェックした方がいい」
    と注意喚起されています。

    ワームが検出されたのは、某有名ブログで紹介されたWordpressテーマですが、
    次の点でやっかいです。
    ○感染するとハッカーに管理画面に侵入される。
    ○同じテーマディレクトリにある全てのテーマのfunctions.phpに同じワームが仕込まれてしまう。

    [感染してるかどうかの確認]
    管理画面で、外観→編集を選択してテーマの編集画面にすすみ、
    右側のテンプレートからfunctions.phpを選択、
    ”wp_set_auth_cookie”使う怪しいコードが紛れ込んでいないか?
    文字列検索などで確認してください。

    [感染していた場合]
    次の対応はしておいたほうがいいそうです。
    ・Wordpress本体を上書き
    ・プラグインの確認
    ・テーマの確認
    ・データベースの確認
    ・.htaccessファイルの確認
    ・ユーザーを登録しなおしてIDを変更する
    ・全ユーザーのパスワード変更
    ということで、ほぼ、1からのやり直し。

    [今後の対応]
    テーマはWordpress公式の配布サイトからダウンロードするほうが
    賢明ですね。

    あらためて、思うのは、
    ネットの情報を鵜呑みにしないこと。(自戒の意味で。)

    Related posts:

    1. Wordpressのインストール

    ]]>     http://www.chiisana.me/blog/security/wordpress.html/feed 0     Wordpressのインストール http://www.chiisana.me/blog/wordpress/install001.html http://www.chiisana.me/blog/wordpress/install001.html#comments Sat, 28 Nov 2009 03:39:49 +0000 pavo http://www.chiisana.me/blog/?p=42
  • Wordpressテーマに仕込まれるワームについて
  • Wordpress プラグイン(1)
    • ]]>     自分用のメモです。

    ※ バージョン 2.8.6時点です。
    ※ レンタルサーバーの場合、レンタルサーバーのマニュアルに従う。
    ※ 5.~10.はwp-config.phpを直接書き換えるほうが早い。

    1. データベースの作成

    2. Wordpressファイルのダウンロード
      WordPress最新版をダウンロードして解凍。

    3. Wordpressファイルのアップロード
      解凍したファイルをフォルダごと、サーバーの任意のフォルダにアップロード。

    4. (必要に応じて)PHP5の設定
      サーバーでPHPの複数のバージョンが動作する場合など、
      必要に応じて php5 が動作するよう.htasessを設置。

    5. インストール
      ブラウザからサーバーのアップロードしたフォルダにアクセス。
      「ウィザード形式で wp-config.php ファイルを生成する 」
      をクリックする。
      ※ ”ファイルが見つかりません”の表示にうろたえない。

    6.  データベース情報の入力
      ・データベース名
      ・ユーザー名
      ・パスワード
      ・データベースのホスト名
      以上、レンタルサーバーの場合マニュアルに書いてあるとおり。
      テーブル接頭語は変えておく。wp_→ blog01_ など。
      ※ 1つのデータベースで複数のWordPressを動かすことができる。
        区別しやすくしておく。

    7. 「インストールを実行しましょう」をクリック。

    8. ブログの初期設定
      ブログのタイトルとメールアドレスを入力して
      「WordPressをインストール>>」をクリック。

    9. 以上でインストール終わり。
      「成功しました!」が表示されたら
      表示されているユーザー名とパスワードをメモ。
      「ログイン」をクリック。

    10. メモしたユーザー名とパスワードでログイン。

    11. 管理者権限のユーザを作成
      [ユーザ]-[新規追加]で管理者権限のユーザーを作成。
      (ブログ上の表示名も変えておく。)
      いったんログアウト。
      作成したユーザーでログイン。
      adminを削除。

    12. [設定]を設定
      <特に留意点>

      [一般]
      WordPress をインストールしたディレクトリとは別のディレクトリに
      ホームページを設定する場合、ここで。
      ※ 参考
      http://wpdocs.sourceforge.jp/Giving_WordPress_Its_Own_Directory
      ※ 4.で.htacessを設置したときは、それも忘れずに。

      [投稿設定]
       更新情報サービス(pingの送信先を設定)

      [表示設定]

      [ディスカッション]

      [メディア]

      [プライバシー]
       ブログの公開設定

      [パーマリンク設定]
       カスタム構造に。
       %category%、%post_id%、%postname% など。

      [その他の設定]

    13. リンクの設定

    14. 使用テーマをアップロード、変更

    15. プラグインをアップロード、有効化、設定
       Akismet、WP Multibyte Patch はインストールされているので有効化。

    16. robots.txtの作成
       User-Agent: *
       Disallow: /wp-login.php
       Disallow: /wp-admin/
       Disallow: /wp-includes/
       Disallow: /wp-content/
       Allow: /
       Sitemap: http://・・・/sitemap.xml

    17. インストール用ファイルの削除
       念のため。
       •Wordpressインストールフォルダ / wp-admin / install.php
       •Wordpressインストールフォルダ / wp-admin / update.php
       update.phpは削除しないこと。(自動アップグレードに必要。)

    18. ファイルのバックアップ

    お疲れさまでした。

    Related posts:

    1. Wordpressテーマに仕込まれるワームについて
    2. Wordpress プラグイン(1)

    ]]>     http://www.chiisana.me/blog/wordpress/install001.html/feed 0