WordPressのサイト改ざん対応 ~WADAX・ロリポップ~
2013年8月28日から、各サーバー上の
WordPressに改ざんが発生
している、という連絡が、Wadax、ロリポップから入りました。Wadaxの方が3時間ほど早く連絡がきましたね。
ロリポップ側で改ざんが発見されたもようです。
Wadaxでは発見されなかったとのこと。多分ユーザーのリスク対策の意識の差なんだと思いますが、
初心者の多いロリポップではこうゆうのが発生しやすいのかもしれません。
でも、各社とも通達メールの速度は早いように感じます。このメールの前に所定のパーミッションも変更してくれたみたいですし。こうゆう対応の迅速さは冷静な目で見てレンタルサーバ選択時の参考にしなければ、と思いました。
WordPress利用者の管理画面からの不正アクセスにより、データの改ざんや不正ファイルの設置がなされたという。 対象となるユーザーは、WordPressをインストールしている一部のユーザーで、29日午前の時点で判明しているだけで4802件。 ただし、その後の調査でさらに増える可能性が出てきたとしている。これを受けてペパボでは、ロリポップ!のユーザーサーバー上にあるWordPressについて、全ユーザーのすべてのwp-config.phpファイル(WordPressの設定情報が書き込まれたファイル)のパーミッションを変更する措置をとるとともに、全サーバ―/全ファイルを対象にウイルススキャンを実行。 発見された不正ファイルはパーミッションを変更し、該当ファイルへアクセスできないよう対策を行っているとしている。ペパボでは28日、WordPressのログインID・パスワードに脆弱な文字列を使用している場合に、管理画面へ不正にログインされる事例を多数確認しているとして、ID・パスワードには特定されにくい文字列を設定すること、wp-login.phpへのアクセス制限を実施することをユーザーに呼び掛けていた。 |
改ざんのターゲットになっているのは、
パスワード、ユーザー名が脆弱なもの
のようです。
ユーザー名のadminはまず絶対変更しましょう。大した手間はないはずです。
そしてパスワード。
どの媒体でも同じ事ですが、数字の羅列、単語、はこの機会にやめちゃいましょう。
覚えれらないから変更しない!っていう方はこんなのどうでしょうか
oozappa → ooza8
このサイトのドメインなんですけど、大雑把というローマ字を 上記のように、パを8に読み替える、こんな単純なことでもいいので
楽しみながらやってみてください!
■ ■ ロリポップ通達メール抜粋■ ■ 平素よりロリポップ!をご利用いただき、 現在、ロリポップ!において、第三者からの大規模攻撃により WordPress を |
|
■ ■ WADAX通達メール抜粋■ ■【重要】WordPressのサイト改ざん対応について皆々様には益々ご健勝のこととお慶び申し上げます。 平素は格別のお引立てにあずかり誠にありがたく厚く御礼申し上げ 8月28日より、各社サーバー上のWordPressにおいて、 ※ WordPressをご利用頂いていないお客様については影響は ※ お客様による操作などは必要御座いません。 |
この記事へのコメントはありません。