ロリポップ!レンタルサーバーでWordPressの乗っ取り多発。でも初心者的には何をどうすればいいのか…

ロリポップ!レンタルサーバーのWordPressで、乗っ取りが多発しているようです。

lolipop!_top

なんて普通に書き出してますが、当ブログもロリポップを利用してます。ぞっとしてます。

というか、多くのブログが乗っ取られているという情報だけが目に、耳に入ってきて、ここ数日はオロオロするばかり。。。

今のところ、当ブログは被害には遭ってないのですが、どう考えてもそれは“たまたま”でしょうね。
セキュリティに関して、ほとんど分かっていないので(汗)

基本は“自分の身は自分で守る”ということになるのでしょうが、初心者でセキュリティ関連に詳しくないものにとっては何をどうすればいいのか分からない、というのが実際です。

なので、とりあえずは現段階で目にした情報を色々と書き留めておきたいと思います。

以降、なんといっても初心者が調べているので、当然不十分があるでしょうから(あり過ぎか!?)、その点はご了承願います。

何はともあれ、今回の被害については、ロリポップのほうからは、こちらのサイトで随時報告されてます。
当社サービス「ロリポップレンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について / 新着情報 / お知らせ – レンタルサーバーならロリポップ

パーミッション!?

で、色々情報を得ることはできるのですが、そもそも、あちこちで書かれている対策についての説明自体がちんぷんかんぷん…

例えば、よく目にしたのがパーミッションを適切に変更する、という対策。
ってパーミッションって何!というレベルです(汗)

そんなことも知らないなら、WordPressなんか使うな!と言われてしまうのだろうか…

ロリポップの「パーミッションについて / ホームページ / マニュアル – レンタルサーバーならロリポップ」によると、ファイルやディレクトリに対するアクセス権限とのことで、これを正しく設定してないといけないんですね。

って、そうなのか…、そうだったのか…
そういうことさえも全く分かってなかったんですから、全くもって、知らないってことは恐ろしい。
WordPressのインストール時に設定の注意点があったのかな…

ということで、ロリポップから案内のあった、サイト改ざんへの対策について記載されたページ「サイト改ざんへの対策をお願いいたします – ロリポップレンタルサーバー」を参考にして、

「wp-config.php」を400に、「.htaccess」を604にしました。

「ロリポップFTP」で設定できるようなので、これでいいのかな。

実は、ロリポップ側でもセキュリティ強化の為に、wp-config.php のパーミッションを「400」に変更しているそうです。

IDやらパスワードやらバックアップやら

IDやらパスワードの変更は、初心者でもすぐに対応できる対策ですね。

・WordPressのIDとパスワードの変更
・ロリポップへのログインパスワードにFTPパスワードの変更

初期設定のままは、やはりまずいですよね。
一応、初期設定のままではないのですが、この機会に変えておいたほうがいいのかな。

初心者には、あとは何、何、何ができるの〜

あっ、何かあった時のためにバックアップ!

初心者的にはこれが一番かもしれませんね。

やっぱり色々なサイトを参考にさせていただいてます

やっぱり、元々よく分かってないセキュリティ関連ですから、色々なサイトを参考にさせていただいてます。
皆さん、ありがとうございます。

※経緯や対応については、こちらの記事にまとめてあり、参考にさせていただきました。ありがとうございました。
Krad XinによるWordpressサイト大量ハッキング発生中 |ウェブシュフ」(ウェブシュフさん)

※こちらのフォーラムの情報も随時参考に参考にさせていただいてます。
WordPress › フォーラム » サイト改ざん?

※こちらでは初心者に分かりやすく対策を書かれています。ありがとうございます。
[凛]ロリポップでブログを使っている私が行った乗っ取り対策5点。 | りんろぐ。」(凛さん)

補足:ロリポップのWAFにつて

色々と調べている中で、ロリポップのWAFの話が時々でてきます。

これまたよく分からないのですが、不正アクセスによるサイトの改ざんや情報漏洩を防ぐ機能のWAF(ウェブアプリケーションファイアウォール)とのことですが、PHPやCGIでプログラムの編集をすると403エラーが表示されるという問題で、ロリポップ側でもWAFを無効にすれば問題が解決するということになっていたかと思います。

けど、それって本来の目的から完全に外れちゃってますよね。

その点について、こちらにその対応策が掲載されているのですが、
ロリポップ上のWordPressをWAFで防御する方法 | HASHコンサルティングオフィシャルブログ
うぇ〜ん、全然分からない(涙)
大事なのは分かるんだけど…。ちょっと勉強します。

まとめというかなんというか

ということで、対応点や参考サイト等を忘れないために、備忘録的に書き綴ってみましたが、対応策として書いてあること自体がよく分からないっていう方は、私も含めて結構いると思うんですよね。

そうなると、やっぱりロリポップ側での対応に期待してしまうのが正直な気持ちなんです。

ロリポップは安くて気軽に使え、初心者にはちょうどいいと思っていたのですが、こういうことが起きるとは…

今後どうすればいいのかな〜

このままロリポップを利用し続けていて大丈夫なんだろうか。
初心者だからこそ、不安になってしまいますが、やっぱりそれも自分で解決しないといけないんですよね。

尚、ロリポップでは現在も対応は進んでます。

  • ロリポップ!のユーザーサーバー上にあるWordPressについて、全ユーザーのすべてのwp-config.phpファイルのパーミッションを「400」に変更
  • 全サーバの全ファイルに対してウィルススキャンを実行
  • 発見された不正ファイルについてはパーミッションを「000」に変更
  • 不正なファイルを検知したお客様のサーバー領域へ再度不正なファイルが仕込まれないようにWAF(Web Application Firewall)を随時有効に
  • ロリポップ!レンタルサーバー上にある全てのWordPressで使用しているデータベースのパスワード、および該当するデータベースを使用しているCMSの設定ファイル上のパスワードの書き換えを行う

等の対策がとられているようです。

※この記事は、2013年8月30日 14:10時点での投稿記事です。