画像を直リンクしているサイトが増えてきたので直リンク防止対策をしました。
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www¥.)?example.com/wordpress [NC]
RewriteCond %{HTTP_REFERER} !google¥. [NC]
RewriteCond %{HTTP_REFERER} !bing¥. [NC]
RewriteCond %{HTTP_REFERER} !yahoo¥. [NC]
RewriteRule ¥.(jpg|jpeg|png|gif)$ - [NC,F,L]上記の .htaccess を画像が保存されているディレクトリに置きます。
これで外部サイトからの画像直リンクを禁止できます。ただし設定により Google Bing Yahoo だけは直リンクを許可しています。
参考:画像への直リンクを禁止する
XREAやCORESERVER.JPではPHPがセーフモードで動作しているため標準でインストールした状態ではWordpress本体&プラグインの自動アップデート機能等が使えません。
以下の.htaccessファイルをwp-adminディレクトリ内に作成してください。
www.example.com/wordpress/wp-admin/.htaccess
これでセーフモード制限を回避できます。(WordPress 3.3.1対応)
セーフモードによる制限と対処方法 – WordPress Codex 日本語版
<files async-upload.php> AddHandler application/x-httpd-phpcgi .php </files> <files admin.php> AddHandler application/x-httpd-phpcgi .php </files> <files update.php> AddHandler application/x-httpd-phpcgi .php </files> <files upgrade.php> AddHandler application/x-httpd-phpcgi .php </files> <files plugin-install.php> AddHandler application/x-httpd-phpcgi .php </files> <files plugins.php> AddHandler application/x-httpd-phpcgi .php </files> <files update-core.php> AddHandler application/x-httpd-phpcgi .php </files> <files themes.php> AddHandler application/x-httpd-phpcgi .php </files> <files admin-ajax.php> AddHandler application/x-httpd-phpcgi .php </files>
※詳細はログインユーザのみご覧いただけます。
2011年8月に発見され最近になって被害が拡大しているtimthumb.phpの脆弱性について書きます。→関連記事
timthumb.phpとはWordpressで画像サイズを変更するためのPHPプログラムでテーマやプラグインで使われています。もしインストールされているtimthumb.phpのバージョンが2.0以下ならそのまま使い続けるのは危険です。ウェブサーバーがボットに感染したりPHPバックドアが仕掛けられたりするかもしれません。
特に古いプラグインは同梱されているtimthumb.phpも古いので要注意です。
ちなみに当サイトでは全部で3ファイル見つかり、その内の1ファイルが2.0以下でした。
よくわからない人はTimthumb Vulnerability Scannerというプラグインを使えばインストールされているtimthumb.phpを見つけてくれて最新のtimthumb.phpに差し替えることができます。