WordPressの点検


WordPressの点検 | Bamboo lath 日々の記録WordPressの脆弱性を悪用されて、エックスサーバーからアクセス制限をかけられた話

↑のブログを読んで細かな対策は都度行っていたけど脆弱性の点検はしていなかったので点検してみる。

ワードプレスをURLで検査してサイトの脆弱性を調べましょう

結果は

[要緊急対応]readme.htmlがワードプレスのバージョンを漏洩しています
といくつかの[注意]ヘッダー出力(情報漏洩の可能性)でした。

「readme.html」を削除してとりあえず対策は完了。

ただヘッダー出力の内容が気に食わなかったのでこちらを参考にセキュリティ関係の設定をファイルにまとめるように変更。

CentOS7のApacheの設定

バージョン確認

# httpd -v
Server version: Apache/2.4.6 (CentOS)

設定の追加

# vim /etc/httpd/conf.d/security.conf

# バージョン情報の隠蔽
ServerTokens Prod
Header unset X-Powered-By
# サーバ署名(バージョンとサーバ名)のOFF
ServerSignature Off
# httpoxy 対策
RequestHeader unset Proxy
# クリックジャッキング対策
Header append X-Frame-Options SAMEORIGIN
# XSS対策
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
# XST対策
TraceEnable Off

チェックとリスタート

# httpd -t
# systemctl restart httpd.service

もう一度チェックすると新しく設定したHeaderが表示されたけど
この内容なら大丈夫なはず。

WordPressは本当に立てるのは簡単だけど、
メンテナンスをちゃんとしないと危険。。

今後は定期的にチェックしていく。

コメントを残す

メールアドレスが公開されることはありません。