WordPressを攻撃って何ヤダ怖い
何やらWordPress使ったユーザーサイトが攻撃されているらしい。
株式会社paperboy&co.(ペパボ)は29日、同社が提供する個人向けレンタルサーバーサービス「ロリポップ!」において、大規模攻撃により、WordPressを利用中のユーザーのサイトが改ざんされる被害が発生していると発表した。
「気さくなブログ」は違うレンタルサーバーを使用しているが、他人ごとではないのでアチキのWordPressをチェック。.htaccessファイルは改ざんされていなかった。
wp-config.phpのパーミッションを404に変更。これって…やってなかったんだ orz
セキュリティ・プラグインを入れたり、ある程度の対策はしてるけどまだ心配。
そもそもどういった原因?ってことでググってみた。
どうやらアチキが気をつけていたとしても、共有サーバーの誰かから伝染する可能性があるらしい。
共有サーバは隣が素人かもしれないわけですから、そもそも共有サーバでWordPressは素人さんには使わせないとか、または最初からパーミッションを変更してから提供するとかの対応が必要かと思います。これは特にロリポップだけではなくて他のレンタルサーバでも同じ事だと思います。業界の皆さま、わたくしもエンジニアではないですが、ご一考お願いします。専門家でない私が言えることはこれだけです。
引用元: 続) ロリポップのWordPress大量乗っ取りについての推測と対応 | More Access! More Fun!.
上記サイトの人がおすすめしていた防御法のサイト。
(2013/08/29)追記
ロリポップ上のWordPressが不正アクセスされる事例が増えているようです(参考)。現時点で侵入経路等は明らかでありませんが、以下に説明する方法で、公開ページに対するSQLインジェクション攻撃や、管理コンソールに対する不正ログインに対しては、かなり効果があると考えられます。ユーザーの参考になれば幸いです。また、タイトルを変更しました。
追記終わり
引用元: ロリポップ上のWordPressをWAFで防御する方法 | HASHコンサルティングオフィシャルブログ.
まだまだ分からないことが多いができるだけ対策しよ。
※2013.08.31追記:帰宅して上記サイトなどからリンクされている記事・追記などを読んでると「WordPressは関係ない」とか「レン鯖のパーミッション設定が悪い」など、複数の違った意見があってよく分からない。
以下の記事より「当社のパーミッションの設定不備を利用」ということで良いんかいな?
ま、アチキが使っているWordPressのセキュリティにももう一度関心が戻ったからいいけど。
p>< (8月30日追記その2) paperboy&co.は8月30日19:13にさらに説明をアップデートした。WordPressのプラグインやテーマの脆弱性を悪用されて不正侵入を受けた上で、「当社のパーミッションの設定不備を利用」されたことが原因であると明記している。
引用元: 説明二転三転、根本的な原因は「パーミッション設定の不備」と:Update:「ロリポップ」でWeb改ざん、8438件でデータ改ざんや不正ファイル設置 – @IT.
