WordPressインストール上の注意喚起

2014年08月19日 公開

世界中で利用者がかなり多いCMS「WordPress(ワードプレス)」。オープンソースで無料であり、出来が良く、利用者が多いのでテーマやらプラグインやらヘルプやら情報がいっぱいおっこちているので安心して使いやすいということから利用者を増やした、と考えられます。

便利です。

WordPress.png

利用者が多いということは、プロの管理者以外に、生ぬるい素人管理者もかなりの割合を占めているということで、悪いことをするヒトたちのターゲットにもなりがちです。

インストールしてみて気付いた点についてお知らせし、注意を喚起します。

設定ファイルの編集

手動でインストールする場合、指南書に従ってインストールを進めるにあたり、設定ファイルを編集しなければなりません。ここでちょっと重要なことに気づきました。

レンタルサーバーの自動インストール機能を使ってインストールした場合、認証用ユニークキーが設定されていないことがあるようです。

まずは、あるべき理想の姿を紹介しておきます

【リンク】WordPress 認証用ユニークキー設定の説明

define('AUTH_KEY',         't`DK%X:>xy|e-Z(BXb/f(Ur`8#~UzUQG-^_Cs_GHs5U-&Wb?pgn^p8(2@}IcnCa|');
define('SECURE_AUTH_KEY',  'D&ovlU#|CvJ##uNq}bel+^MFtT&.b9{UvR]g%ixsXhGlRJ7q!h}XWdEC[BOKXssj');
define('LOGGED_IN_KEY',    'MGKi8Br(&{H*~&0s;{k0<S(O:+f#WM+q|npJ-+P;RDKT:~jrmgj#/-,[hOBk!ry^');
define('NONCE_KEY',        'FIsAsXJKL5ZlQo)iD-pt??eUbdc{_Cn<4!d~yqz))&B D?AwK%)+)F2aNwI|siOe');
define('AUTH_SALT',        '7T-!^i!0,w)L#JK@pc2{8XE[DenYI^BVf{L:jvF,hf}zBf883td6D;Vcy8,S)-&G');
define('SECURE_AUTH_SALT', 'I6`V|mDZq21-J|ihb u^q0F }F_NUcy`l,=obGtq*p#Ybe4a31R,r=|n#=]@]c #');
define('LOGGED_IN_SALT',   'w<$4c$Hmd%/*]`Oom>(hdXW|0M=X={we6;Mpvtg+V.o<$|#_}qG(GaVDEsn,~*4i');
define('NONCE_SALT',       'a|#h{c5|P &xWs4IZ20c2&%4!c(/uG}W:mAvy<I44`jAbup]t=]V<`}.py(wTP%%');
※注意※この値を使用してはいけません!

例示のように、意味のない長めの文字列を指定することで、保存パスワードにランダムな要素を加えることによってサイトへの不正アクセスや侵入・改竄を難しくし、漏洩を防ぐ仕組みが用意されています。

設定ファイル内のコメントアウトした説明にもありますが、https://api.wordpress.org/secret-key/1.1/salt/ において自動生成することも可能です。可能ならば、自動生成したものにさらに数文字付け加えるくらいの慎重さがあるといいですね。

自動インストール機能利用には充分気をつけて

レンタルサーバーでは、WordPress自動インストール機能が用意されていることがあります。この設定ファイルの編集でへこたれてしまいインストールできないのは困る、というリクエストに応えるものと思われますが、ちょっと問題ありだと感じましたので、注意喚起します。

あるレンタルサーバーでの自動インストールでは、こうなっていました。

define('AUTH_KEY',         '80ec7fa747c6b&6b4a43815e85b7051b0c');
define('SECURE_AUTH_KEY',  '80ec7fa747c6b&6b4a43815e85b7051b0c');
define('LOGGED_IN_KEY',    '80ec7fa747c6b&6b4a43815e85b7051b0c');
define('NONCE_KEY',        '80ec7fa747c6b&6b4a43815e85b7051b0c'); define('AUTH_SALT',        '80ec7fa747c6b&6b4a43815e85b7051b0c'); define('SECURE_AUTH_SALT', '80ec7fa747c6b&6b4a43815e85b7051b0c'); define('LOGGED_IN_SALT',   '80ec7fa747c6b&6b4a43815e85b7051b0c'); define('NONCE_SALT',       '80ec7fa747c6b&6b4a43815e85b7051b0c');
※注意※この値を使用してはいけません!

すべてが同じでダメだということはありませんが、できれば1文字でも違っている方がなおよろしいものと思われます。このようになっていたら、各行に数文字ずつ付け加えて、それぞれ違うものにしておくとより強固なものとなります。

また、違うレンタルサーバーではこうなっていました。

define('AUTH_KEY',         'put your unique phrase here');
define('SECURE_AUTH_KEY',  'put your unique phrase here');
define('LOGGED_IN_KEY',    'put your unique phrase here');
define('NONCE_KEY',        'put your unique phrase here');
define('AUTH_SALT',        'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT',   'put your unique phrase here');
define('NONCE_SALT',       'put your unique phrase here');

( д) ゚ ゚

配布されたまんま! こういうのが危険を生み出す原因のひとつとなります

このようなブログ等で公開されている値を使うことは好ましくないのですが、設定ファイルの値をそのまま使用することはさらによろしくないことです。WordPressご利用のみなさんは今すぐご確認の上、https://api.wordpress.org/secret-key/1.1/salt/ をご利用等で値を作り出し、設定ファイルを再編集なさることを強くおすすめします。

意味がお分かりにならない方は、ご相談を承りますのでお問い合わせください

.