WordPress確認箇所

[yuuzi]

■wp-config.php 平文でユーザやパスワードが記載されている。見える場所にoldファイルを置いたら簡単に管理画面にログインされる。

■プラグイン 脆弱性があるものが多いらしい。 また、無効にしていても被弾する場合があるらしい。 必須ではないプラグインは速攻で削除。

■管理画面 wp-login.phpでログインし、wp-adminから操作出来る。 ログインの必要があるIPアドレス以外からはアクセス不可能にしておきたい。 　→競技者のクライアントPCのIPアドレスのみ許可に iptables -I INPUT 1 -p tcp --dport 80 -m string --algo bm --string "wp-login" -j DROP iptables -I INPUT 1 -p tcp --dport 80 -m string --algo bm --string "wp-admin" -j DROP iptables -I INPUT 1 -p tcp --dport 80 -s [IPアドレス] -j ACCEPT
※リバースプロキシ or FWで設定

[yuuzi]

■ユーザが作成可能 デフォルトだとユーザ作成が無効化されている。 有効化されていると、閲覧者でもユーザが作成することが出来る。 作成時の権限は下記の５種類から選択可能。 ・購読者：WordPressにログインすることが可能 ・寄稿者：レビュー待ちの投稿を作成可能。編集者以上の権限者に公開してもらう必要有り ・投稿者：投稿可能だが、他ユーザが作成したページや、固定ページの編集は不可 ・編集者：投稿、固定ページ、カテゴリを操作可能。プラグインやテーマ、ユーザは操作不可 ・管理者：なんでも出来る

[yuuzi]

■メールから記事を投稿可能 特定メールアドレスで受信するすべてのメールを記事として投稿出来てしまう。無効化の項目は無かったが、ポートは変更可能だったため、ポート変更＆FWで当該ポート拒否が必要

[yuuzi]

■アップデートやテーマ、プラグインのインストールに使用するFTP WordPressホストにFTPサーバを立てることで、アップデートやテーマ、プラグインを管理画面からインストールすることが出来る。 anonymous_enable=YES ↓ anonymous_enable=NO

ASCII許可のためコメントアウト外す ascii_upload_enable=YES ascii_download_enable=YES

パッシブモードで使用するポートを固定する pasv_min_port=50030 pasv_max_port=50030

親ディレクトリまで操作出来るユーザを制限出来るようにコメントアウト外す chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd/chroot_list

ディレクトリ単位の一括転送許可 ls_recurse_enable=YES

noresore11だけが上位ディレクトリ操作出来るように設定 echo noresore11 >> /etc/vsftpd/chroot_list

[yuuzi]

パフォーマンスチューニング的なやつ詳しく書いてる http://kray.jp/blog/wordpress-tuning/