WordPress の引越し(WordPress Codex 日本語版)
http://wpdocs.osdn.jp/WordPress_%E3%81%AE%E5%BC%95%E8%B6%8A%E3%81%97
Search Replace DB
https://interconnectit.com/products/search-and-replace-for-wordpress-databases/
Search Replace DBはとても便利なツールですが、データベースのユーザ名/パスワードを
入力することなくデータベースを書き換えることができるため、利用する際には、セキュリティを十分考慮してください。
利用の仕方によっては、サイト上のコンテンツが改ざんされるだけでなく、以下のような被害を受ける危険性があり、現在、放置されたSearch Replace DBを利用した攻撃が観測されています。
■想定される被害の例
- データベースのアクセス情報(データベース名、ユーザ名、パスワード、
ホスト、ポート)が漏洩し、データベース内のデータが漏洩する。
- データベース内のデータにPHPコードを混入されることで、
仮想通貨のマイニング、OSの不正操作等、任意のコードが実行される。
以下のチェックポイントにチェックがつく場合、至急いずれかの対策を実施いただくことを推奨します。
■チェックポイント
- 作業が終わったにも関わらず、Search Replace DBを削除していない。
(Ver.3の場合は「delete」ボタンをクリック) - Search Replace DBへのアクセス制限を実施していない。
- Search Replace DBをWordPressのルートディレクトリ等わかりやすい場所に配置している。
■対策
- Search Replace DBを削除する(推奨)
- Search Replace DBを削除できない場合はアクセス制限を実施する
Search Replace DBのサイトには、インストール時の注意事項の記載があります。このようなツールやスクリプトを利用する際は、注意事項を正しく理解してから利用することが大切です。
また、利用完了後はただちに削除し、利用中も外部からアクセスできないように、アクセス制御することが鉄則です。
【参考】
WordPressのプラグインDuplicator 1.2.40以前にリモートコード実行の脆弱性(徳丸浩の日記)
https://blog.tokumaru.org/2018/09/wordpress-duplicator-plugin-vulnerabilty.html