帰国早々、肝を冷やしました。
「【緊急警報!!】ロリポップとGMOのinterQのWordPressが軒並み乗っ取られてます」(永江一石さんのブログ「More Access! More Fun!」の8月28日記事)って、トネリコBLOGはまさにロリポップ!&WordPressじゃないですか?
乗っ取られると、Hacked by Krad Xinと黒の上部ツールバーにあり、サイトが文字化けしているとのこと。早速、サイトと管理画面を確認したところ改ざんされた気配は無し。とりあえずホッとしました。
しかし、一部情報ではハッカーの犯行声明に「R.I.P lolipop part 1」という文言があるそうで、今後もpart2以降でさらに攻撃が継続される可能性があります。ちなみに「R.I.P」とは「安らかに眠れと」いう意味の略語だそうです。気が気じゃなくって全然安らかに眠れないんですけど。
現在のところ被害を受けたサイトの数は、ロリポップ!公式発表で8,438件とのことですが、まだまだ被害が拡大する可能性も高そうですので、情報収集とできる限りの対処を施しました。
確認しておくべき情報
TONELIKOが確認した情報源の中で、必ず目を通しておいた方が良いと思ったものを紹介します。
- 【緊急警報!!】ロリポップとGMOのinterQのWordPressが軒並み乗っ取られてます
サイト運用コンサル永江一石さんのブログ記事です。ブログではこちらの記事が最も早かったのではないでしょうか。 - 続) ロリポップのWordPress大量乗っ取りについての推測と対応
上記記事の続報。2段階認証設定し、パーミッションを404にしたのに入られたとなると、サーバー移転も視野に入れるべきか? - WordPress日本語フォーラム > サイト改ざん?
2日前の時点では、こちらにしかハッキング被害の情報はなかったようですね。 - ロリポップ!新着情報
こちらでサーバーの対応状況を逐次確認しましょう。 - ロリポップ!公式 > 【重要】WordPressをご利用のお客様へ
ID、パスワードの変更とwp-login.phpへのアクセス制限を呼びかけています。効果の程は分かりませんが、やるだけやっておいた方が良いでしょう。 - ロリポップ!公式 > WEBサイト改ざんの予防対策
こちらもやれるだけのことはやっておきましょう。 - [凛]ロリポップでブログを使っている私が行った乗っ取り対策5点。
パーミッションの変更、各種パスワード変更、DBバックアップなど、WordPressの乗っ取り対策がまとめられています。 - ロリポップ!で起きている大規模な改ざんからWordPressサイトを守る方法
WordPress管理者のID、パスワードを変更する方法が詳しく掲載されています。とくに管理者IDの変更はやり方を間違えると、投稿した記事が全て削除されてしまいますので、こちらの記事でよく確認することをオススメします。 - WordPress初心者向け セキュリティ強度をできる限り上げる方法
ID、パスワード設定の注意点、管理画面ログインの際のキャプチャ認証などの設置方法が解説されています。 - 【緊急】WordPressでスマホ用WPtouch使ってる初心者は注意です
「WPtouch」というプラグインを使っている方は必見。デフォルトではIDがそのままスマホに表示されてしまいますので、「プロフィールの変更」からニックネームを変更しておきましょう。 - Twitter@Isseki3
永江一石さんのツィッター。情報が早いです。 - Twitter@lolipopjp
ロリポップ!レンタルサーバーのツィッター。サーバーの対応状況をリアルタイムで発信中。
実施した乗っ取り対策
WordPress管理者ID、パスワードの変更
WordPress管理画面より、ID、パスワード共に大小アルファベットと数字混在でランダムな12文字以上に変更しました。ID変更時には旧IDと共に過去記事を削除してしまわないよう要注意。
ロリポップ!のパスワード変更
ロリポップ!管理画面の「アカウント情報」より、大小アルファベットと数字混在でランダムな12文字以上に変更しました。
FTP・WebDAVパスワード変更
ロリポップ!管理画面の「アカウント情報」より、大小アルファベットと数字混在でランダムな12文字以上に変更しました。
WAF設定を「有効」に
ロリポップ!管理画面の「WEBツール > WAF設定」より変更しました。
すべてのファイルをFTPダウンロードでローカル保存
被害にあってもすぐに復旧できるよう、フリーソフトFFFTPでダウンロードしました。
データベースをダウンロード保存
WP-DBManagerで毎日定期的にバックアップは取っていますが、念のため。ダウンロードの方法は「WordPressサイトをロリポップからエックスサーバーへ移転する方法」の「4.ロリポップサーバーのデータをエクスポートする」を参考にしました。
パーミッションの変更
「WEBツール > ロリポップ!FTP」から、.htaccessは644→604へ、wp-config.phpは644→400へ変更しました。
wp-login.phpへのアクセス制限
やり方は、「ロリポップ!公式 > 【重要】WordPressをご利用のお客様へ」に記載されています。
パソコンのウィルススキャン
パソコンがウィルスに感染していると、FTPパスワードが盗まれてしまう可能性があるので念のため。
FTPアクセス制限の設定
「WEBツール > FTPアクセス制限」から設定できます。やり方はロリポップ!公式サイトをご確認ください。
WordPressおよび各種プラグインのアップデート
旧いバージョンは惰弱性を突かれる可能性があります。私は既に実行済みでしたが、常日頃から意識しておいた方が良いですね。
サーバー移転検討中
現時点でやれるだけのことはやったつもりですが、ロリポップ!にてハッキング被害の原因等、詳しい情報が公開されていませんので、まだ不安は残ります。
「ロリポップ WordPress大量ハッキング事件についての熊谷代表の対応」なんかを見ると、会社としてどれだけのユーザー視点があるのか、正直な所やや疑問も残ります。
まだハッキング攻撃が続く可能性もありそうですので、この際レンタルサーバー移転も検討した方が良いかもしれませんね。
移転先はエックスサーバー
あたりがいいのかな?
以上TONELIKOでした。
※この記事を読まれた方は、是非下記の記事も合わせて読んでみてください。
2014年11月追記:エックスサーバーに移転してから1年以上経ちますが、安定性、サポート体制の充実など、大変満足しています。移転作業には非常に苦労しましたので、はじめからエックスサーバーにしておけば良かったですね。
コメント
[…] ロリポップ!の環境には、念のため乗っ取り対策はすることにします。 […]