レンサバのロリポップで、WordPressで運用されているサイトが不正アクセスで改ざんされたという事件が先週ありました。被害サイト数が約8000件…、当サイトもロリポ+WPで運用中ですが今回のハッキング対象には含まれませんでした(9/1 22:00現在)。
当初ロリポはWPが悪い!みたいな公式発表でしたが、途中でロリポもパーミッション設定の不備を利用されたと認めましたね。
先週から色々調べて回ってましたが、2重認証にしても書き換えられたっていう人も居て、
…あれ?WP乗っ取られただけにしては件数も多いし、DBクラックされたんじゃ…て皆さん思ってましたよね。
- 以前から言われてたやってね?なことまとめ
- WPのパスワード変更
- (出来れば)wp-login.php出来たらIP制限
- 今回のロリポ側の対応まとめ
- wp-config.phpパーミッション変更
- データベースのパスワード変更
でした。今回の対応については、なんかロリポ側で色々やってるので、どれが効果があるのか分からんのでロリポ側の結論みたいなものが出るのを待つことにしました。
(金曜日は朝から,会社のサイトやココもごにょごにょしたりパーミッション変えたりいろいろやってたけどもう疲れたよパトラッシュ…)
この騒動の中、仕事でheteml・wadax・さくらの専用サーバーもつかっているので色々お知らせがきました。
hetemlはパーミッション変更した旨のメールがきて(まぁそうよね)、
wadaxもパーミッション変更した旨のメールが(へーぇ)、
さくらは管理画面に気を付けてね的なことが書いてありました(ほほーぅ)。
さくら以外は共用サーバーなので、さくらの対応はちょっと納得。
詳しい人の予想経緯を見る限り、今回のロリポの改さんは共用だからこそ起きたことだとかなんとか・・・?
(パーミッション変えてもお隣さんからは見えちゃうよね?みたいなことらしい)
ちょうど仕事でWPのサイトのオープンを9/2(月)に控えていて、
よりによって共用のレンサバで、
作った人としてはもう気が気じゃないワケです。
出来れば延期させたい。
今回のことで、もっとセキュリティに対して知識を深めなきゃなーと思った次第です。
何かあった時に対応できるだけの知識は持ってて損はないです。
ヤキモキしながらサイトで情報集めて指加えてるだけは精神的に疲れました…orz
レンサバは値段に応じてそれなり、だということも再認識しました。
今回の件でセキュリティが堅牢になるだろう、という期待もありつつ、
引っ越すことも視野にいれるか…面倒くさいなぁ…。
そしてとりあえずWPのプラグインが全く動かないというのは私だけなのかなぁ。
よくわからん(現在ロリポに問合せ中)。
