WordPress.org

ニュース

安全なファイルパーミッションの重要性

安全なファイルパーミッションの重要性


以下は、2010年4月13日に Matt が書いた WordPress.org 公式ブログの記事、「Secure File Permissions Matter」を訳したものです。


概要: 適切でないサーバー設定を行っていたホスティングサービスの一部のサーバー上で、他のユーザーの設定ファイルを読み取れるようになっていました。一部の「セキュリティ」記者が、これを「WordPress 脆弱性」のストーリーに仕立て上げようと試みました。

WordPress は 他のあらゆる Web アプリケーションと同じように、データベース接続情報を平文でテキストファイルに保存します。暗号化証明書は意味がありません。なぜなら、データを解読するためには暗号解除用のキーも同じく Web サーバーが読み取れる場所に保存しなくてはならないからです。

今回のケースでおそらくそうだったように、悪意あるユーザーがファイルシステムにアクセスできる場合、キーを取得して暗号化を解読するのは容易なことです。ドアノブに鍵を差したままにするのなら、鍵をかけても意味がありませんよね。

正しく設定された Web サーバーでは、ファイルのパーミッションには関係なく他のユーザーのファイルにアクセスできるようなことはありません。Web サーバーの設定は、ホスティング提供者が責任を持つべきことです。これを行う方法(suexec など)は、5年以上前から存在しています。

ここでは問題となる記事にリンクはしません。あまりにも事実と異なる情報だらけで、読めば読むほどバカげているからです。

Web ホスティングサービスを運営している側が、不正なファイルパーミッションの問題を WordPress のせいにするというのは、明らかに間違ったやりかたです。

P.S. Network Solutions さん、「Word Press」ではなくて、正しくは「WordPress」ですよ。

“安全なファイルパーミッションの重要性” への3件のフィードバック

  1. […] WordPress | 日本語 » 安全なファイルパーミッションの重要性 […]

  2. […] オープンソースのブログサービスWordPressはWordPress公式ブログで適切でないサーバー設定を行っていたホスティングサービスの一部のサーバー上で、他のユーザーの設定ファイルを読み取れるセキュリティーホールが存在し、それを悪用したサイバー犯罪者により、WordPressブログが大量にハッキングされ、ハッキングされたブログの閲覧者がマルウェアを仕込まれたWebサイトへ誘導された事件でホスティングサービス運営企業Network Solutionsを批判した。 WordPressによると正しく設定された Webサーバーでは、ファイルのパーミッションには関係なく他のユーザーのファイルにアクセスできるようなことはないといい、今回の問題で、不正なファイルパーミッションの問題はWordPressではなくホスティングサービス運営側にあるという。 Webサーバーの設定は、ホスティング提供者が責任を持つべきことで、安全にWebサーバーの設定を行う方法は5年前から存在するとも述べた。 Posted in ブログ SSL証明書ベンダ-Comodo(コモド)とは? […]

  3. […] オープンソースのブログサービスWordPressはWordPress公式ブログで適切でないサーバー設定を行っていたホスティングサービスの一部のサーバー上で、他のユーザーの設定ファイルを読み取れるセキュリティーホールが存在し、それを悪用したサイバー 犯罪者により、WordPressブログが大量にハッキングされ、ハッキングされたブログの閲覧者がマルウェアを仕込まれたWebサイトへ誘導された事件でホスティング>サービス運営企業Network Solutionsを批判した。 WordPressによると正しく設定された Webサーバーでは、ファイルのパーミッションには関係なく他のユーザーのファイルにアクセスできるようなことはないといい、今回の問題で、不正なファイルパーミッションの問題はWordPressではなくホスティングサービス運営側にあるという。 Webサーバーの設定は、ホスティング提供者が責任を持つべきことで、安全にWebサーバーの設定を行う方法は5年前から存在するとも述べた。 Posted in Blog […]