UbuntuのWordPressで安全なアップデートとインストールを構成する方法
ステータス:非推奨
この記事では、サポートされなくなったバージョンのUbuntuについて説明します。 現在Ubuntu12.04を実行しているサーバーを運用している場合は、サポートされているバージョンのUbuntuにアップグレードまたは移行することを強くお勧めします。
理由: Ubuntu 12.04は2017年4月28日に保守終了(EOL)に達し、セキュリティパッチまたはアップデートを受信しなくなりました。 このガイドはもう維持されていません。
代わりに参照してください:このガイドは参照として役立つ場合がありますが、他のUbuntuリリースでは機能しない場合があります。 可能な場合は、使用しているUbuntuのバージョン用に作成されたガイドを使用することを強くお勧めします。 ページ上部の検索機能を使用して、より新しいバージョンを見つけることができます。
序章
WordPressは、今日インターネットで使用されている最も人気のあるCMS(コンテンツ管理システム)です。 パワフルでシンプルなため多くの人が使用していますが、セキュリティを犠牲にして利便性とトレードオフを行う場合もあります。
これは、ディレクトリの所有権とアクセス許可を割り当てる方法、およびアップグレードの実行方法を選択する場合に当てはまります。 これを行うには、さまざまな方法があります。 テーマとプラグインをアップグレードおよびインストールするための比較的安全な方法と考えるものを選択します。
このガイドでは、サーバーの初期設定を完了していることを前提としています。 また、VPSにLAMPスタックをインストールする必要があります。
また、Ubuntu12.04にWordPressがインストールされていることを前提としています。 Ubuntu12.04にWordPressをインストールする方法に関するガイドはこちらからご覧いただけます。
ユーザーと必要なソフトウェアを入手したら、このガイドのフォローを開始できます。
SSHを使用した安全な更新の設定
キーベースの更新とインストールが構成されていない場合、これらのタスクのいずれかを実行しようとすると、接続情報の入力を求めるプロンプトが表示されます。
ホスト名、FTPユーザー名、FTPパスワードなどのFTPクレデンシャルを入力するように求められます。
FTPは本質的に安全でないプロトコルであるため、ほとんどの場合、FTPを使用することはお勧めしません。 安全な代替手段を使用するようにインストールを構成します。
権限の変更
上記のWordPressのインストールに関するガイドに従った場合、ApacheWebユーザーにWebディレクトリの許可を与えたことに気付くでしょう。 これは開始するのに非常に迅速な方法ですが、セキュリティ上のリスクになる可能性があります。 理想的な状況では、コンテンツ所有者をWebプロセスから分離します。 これは、SSH更新を許可するための準備の一環として行います。
というユーザーを作成します wp-user
WordPressのインストールを所有します。
sudo adduser wp-user
設定したいパスワードなど、たくさんの質問があります。 パスワードを設定したくないので、パスワードに関する質問の繰り返しを含め、すべてのプロンプトで「ENTER」を押します。
次に、に変更します /var/www/html
WordPressファイルが提供されているディレクトリ。
cd /var/www/html
このディレクトリの下にあるすべてのものに対して、新しいユーザーに所有権を与えます。 www-data
インストール時に設定したApacheWebユーザー。
sudo chown -R wp-user:wp-user /var/www/html
WordPress用のSSHキーを作成する
次に、WordPressユーザー用のSSHキーペアを作成する必要があります。 次のコマンドを発行して、WordPressユーザーにログインします。
sudo su - wp-user
とキーペアを作成します ssh-keygen
指図:
ssh-keygen -t rsa -b 4096
キーをどこに保存し、何と呼ぶかを尋ねられます。 選ぶ /home/wp-user/wp_rsa
. また、パスフレーズを選択するように求められます。 プロンプトで「ENTER」を押して、パスワード認証なしでキーを作成します。
通常のユーザーアカウントに戻ります。
exit
アクセス許可を安全にするために、いくつかのメンテナンスを行う必要があります。 WordPressユーザーに所有権を与えたいのですが、 www-data
グループ所有者としてのグループ。 次に、他のアクセスをロックダウンします。
sudo chown wp-user:www-data /home/wp-user/wp_rsa*
sudo chmod 0640 /home/wp-user/wp_rsa*
を作成する必要があります ~/.ssh
ディレクトリに適切な権限と所有権を与えて、Webプロセスがログインできるようにします。
sudo mkdir /home/wp-user/.ssh
sudo chown wp-user:wp-user /home/wp-user/.ssh/
sudo chmod 0700 /home/wp-user/.ssh/
これで、公開鍵を許可された鍵ファイルに入力して、ユーザーがそれらの資格情報を使用してログインできるようになります。 このファイルはまだないので、公開鍵をコピーするだけです。
sudo cp /home/wp-user/wp_rsa.pub /home/wp-user/.ssh/authorized_keys
繰り返しになりますが、これらのファイルのアクセス許可と所有権を調整して、安全を維持しながらアクセスできるようにする必要があります。
sudo chown wp-user:wp-user /home/wp-user/.ssh/authorized_keys
sudo chmod 0644 /home/wp-user/.ssh/authorized_keys
これらのキーは、同じコンピューター上にあるWordPressサイト内からのログインにのみ使用されるため、このサーバーへのログインを制限できます。
sudo nano /home/wp-user/.ssh/authorized_keys
ファイルの最初で、他のテキストの前に、赤で部分を追加して、キーの使用をローカルコンピューターに制限します。
from =“ 127.0.0.1” ssh-rsa…
ファイルを保存して閉じます。
キーを使用するようにWordPressの構成を調整する
これで、WordPressがSSHログインを認証するために必要なパッケージをインストールできます。
sudo apt-get update
sudo apt-get install php5-dev libssh2-1-dev libssh2-php
ユーティリティが用意できたので、構成ファイルを編集して、構成した値を設定できます。
sudo nano /var/www/html/wp-config.php
ファイルの終わりに向かって、次の行を追加します。
define('FTP_PUBKEY','/home/wp-user/wp_rsa.pub');
define('FTP_PRIKEY','/home/wp-user/wp_rsa');
define('FTP_USER','wp-user');
define('FTP_PASS','');
define('FTP_HOST','127.0.0.1:22');
ファイルを保存して閉じます。
ここで、Apacheを再起動して、新しい更新手順を利用する必要があります。
sudo service apache2 restart
結果をテストする
これで、構成が正しいかどうかをテストできます。 次のURLのブラウザでサイトにアクセスして、管理者としてWordPressサイトにログインします。
your_domain.com / wp-admin
新しいテーマをインストールすることで、設定が正しく構成されていることを確認できます。 「外観」、「テーマ」の順にクリックします。
上部にある[テーマのインストール]をクリックします。
テーマを検索するか、「注目の」テーマをクリックします。 「インストール」をクリックして、テーマをサイトにインストールします。 指定したキーファイルを使用して、パッケージに正常にログイン、ダウンロード、およびインストールする必要があります。
「アクティブ化」をクリックして新しいテーマに切り替え、「サイトにアクセス」をクリックして結果を確認できます。
一般的な問題
SSHキーを正しく設定しなかった場合に発生する可能性のある問題がいくつかあります。
Webインターフェイスを介して変更をプッシュしようとしたときに表示される可能性のある一般的なエラーの1つは次のとおりです。
ユーザーの公開鍵と秘密鍵が正しくありません
このエラーはイライラするほど具体的ではありません。 これはさまざまな理由で発生する可能性があり、その一部は次のとおりです。
-
公開鍵、秘密鍵、およびそれらを含むディレクトリに対する不適切なアクセス許可。
Webプロセスはこれらの各ファイルを読み取ることができる必要があるため、Webサーバーグループが所有者である場合、各ファイルには少なくとも640のアクセス許可が必要です。
一方、
~.ssh
ディレクトリは、ログインするユーザーのみがアクセスできる必要があります。 これは、wp-user
この例のユーザー。 ディレクトリの内容は、このユーザーが同様に所有し、他のユーザーが書き込みできないようにする必要があります。 -
不適切なファイルの所有権。 これらの同じキーは、正しい関係者が所有している必要があります。 所有者とグループ所有者の間では、これは多くの場合、ログインしているユーザーとWebプロセスユーザーの混合です。
この例では、
wp-user
www-dataグループがグループ所有者であるのに対し、秘密鍵と公開鍵の両方を所有しています。 これにより、サーバーがファイルを読み取れるようにしながら、それらを正しいユーザーに関連付けることができます。 -
不適切なファイル形式。 公開鍵または秘密鍵にフォーマットの問題がある場合、WordPressは鍵を拒否し、使用を拒否します。 同じことが
~/.ssh/authorized_keys
ファイル。authorized_keysファイルに追加した部分、
from="127.0.0.1" ...
公開鍵に存在してはなりません。 SSHはそれを有効なファイルと見なしますが、WordPressは、SSHデーモンに試行を送信する前に、無効であると拒否します。
テーマとプラグインを更新またはインストールするプロセス中のもう1つの一般的なエラーは次のとおりです。
Could not create directory...
これは通常、Webディレクトリの所有権が正しくない場合の問題です。 でファイルを更新する場合 wp-user
アカウントでは、アップロードディレクトリもこのユーザーが所有し、アクセスできる必要があります。
これは、内のファイルとフォルダを指定する必要があることを意味します /var/www/html
ディレクトリへの wp-user
アカウント。 上記の手順を実行しても問題が解決しない場合は、合格したことを確認してください -R
オプション chown
指図。
確認すべきもう1つの点は、アップロードディレクトリにWordPressユーザーの書き込み権限があることです。 ドキュメントルートに変更します。
cd /var/www/html
このフォルダー内のファイルのアクセス許可を確認すると、所有者(最初の列)の書き込みアクセス許可が表示されますが、2番目または3番目の列の書き込みアクセス許可は表示されません。
ls -l
total 180
-rw-r--r-- 1 wp-user wp-user 177 Nov 18 15:21 index.html
-rw-r--r-- 1 wp-user wp-user 418 Sep 24 20:18 index.php
-rw-r--r-- 1 wp-user wp-user 20 Nov 18 15:24 info.php
-rw-r--r-- 1 wp-user wp-user 19929 Jan 18 2013 license.txt
-rw-r--r-- 1 wp-user wp-user 7128 Oct 23 16:08 readme.html
-rw-r--r-- 1 wp-user wp-user 4892 Oct 4 10:12 wp-activate.php
drwxr-xr-x 9 wp-user wp-user 4096 Oct 29 16:08 wp-admin/
-rw-r--r-- 1 wp-user wp-user 271 Jan 8 2012 wp-blog-header.php
-rw-r--r-- 1 wp-user wp-user 4795 Sep 5 21:38 wp-comments-post.php
-rw-r--r-- 1 wp-user wp-user 3350 Nov 19 12:23 wp-config.php
-rw-r--r-- 1 wp-user wp-user 3177 Nov 1 2010 wp-config-sample.php
drwxr-xr-x 5 wp-user wp-user 4096 Nov 19 12:25 wp-content/
. . .
ご覧のとおり、次のファイルのアクセス許可 -rw-r--r--
および読み取るディレクトリ権限 drwxr-xr-x
を示す wp-user
、ファイルとディレクトリを所有している人は書き込み権限を持っていますが、他の人は持っていません。
内の同様のチェック wp-content
テーマ、プラグインなどを含むディレクトリは、これらのディレクトリが所有され、書き込み可能かどうかを示します。 wp-user
ユーザー。
cd /var/www/html/wp-content
ls -l
total 16
-rw-r--r-- 1 wp-user wp-user 28 Jan 8 2012 index.php
drwxr-xr-x 3 wp-user wp-user 4096 Oct 29 16:08 plugins
drwxr-xr-x 6 wp-user wp-user 4096 Nov 19 13:10 themes
drwxr-xr-x 2 wp-user wp-user 4096 Nov 19 13:10 upgrade
これらのディレクトリは正しく構成されています。
結論
WordPressは便利で、比較的簡単に構成および管理できますが、セキュリティがサイトの主な関心事であってはならないという意味ではありません。
インストールの更新と同じくらい簡単なことは、セキュリティリリースの直後に実行する必要があります。 また、安全でないプロトコルを使用したり、安全でないディレクトリ権限を設定したりすることを強制する手順であってはなりません。
更新手順と正しいディレクトリ権限を確保することは、かなり大きなセキュリティ上の懸念を防ぐことができる1つの簡単なタスクです。