ロリポップ!のWordPressハッキング8,438件。役立った情報と実施した対処法

緊急警報!ロリポップ!乗っ取り レンタルサーバー

帰国早々、肝を冷やしました。

【緊急警報!!】ロリポップとGMOのinterQのWordPressが軒並み乗っ取られてます」(永江一石さんのブログ「More Access! More Fun!」の8月28日記事)って、トネリコBLOGはまさにロリポップ!&WordPressじゃないですか?

乗っ取られると、Hacked by Krad Xinと黒の上部ツールバーにあり、サイトが文字化けしているとのこと。早速、サイトと管理画面を確認したところ改ざんされた気配は無し。とりあえずホッとしました。

しかし、一部情報ではハッカーの犯行声明に「R.I.P lolipop part 1」という文言があるそうで、今後もpart2以降でさらに攻撃が継続される可能性があります。ちなみに「R.I.P」とは「安らかに眠れと」いう意味の略語だそうです。気が気じゃなくって全然安らかに眠れないんですけど。

現在のところ被害を受けたサイトの数は、ロリポップ!公式発表で8,438件とのことですが、まだまだ被害が拡大する可能性も高そうですので、情報収集とできる限りの対処を施しました。

 

スポンサーリンク

確認しておくべき情報

TONELIKOが確認した情報源の中で、必ず目を通しておいた方が良いと思ったものを紹介します。

 

実施した乗っ取り対策

WordPress管理者ID、パスワードの変更

WordPress管理画面より、ID、パスワード共に大小アルファベットと数字混在でランダムな12文字以上に変更しました。ID変更時には旧IDと共に過去記事を削除してしまわないよう要注意。

 

ロリポップ!のパスワード変更

ロリポップ!管理画面の「アカウント情報」より、大小アルファベットと数字混在でランダムな12文字以上に変更しました。

 

FTP・WebDAVパスワード変更

ロリポップ!管理画面の「アカウント情報」より、大小アルファベットと数字混在でランダムな12文字以上に変更しました。

 

WAF設定を「有効」に

ロリポップ!管理画面の「WEBツール > WAF設定」より変更しました。

 

すべてのファイルをFTPダウンロードでローカル保存

被害にあってもすぐに復旧できるよう、フリーソフトFFFTPでダウンロードしました。

 

データベースをダウンロード保存

WP-DBManagerで毎日定期的にバックアップは取っていますが、念のため。ダウンロードの方法は「WordPressサイトをロリポップからエックスサーバーへ移転する方法」の「4.ロリポップサーバーのデータをエクスポートする」を参考にしました。

 

パーミッションの変更

「WEBツール > ロリポップ!FTP」から、.htaccessは644→604へ、wp-config.phpは644→400へ変更しました。

 

wp-login.phpへのアクセス制限

やり方は、「ロリポップ!公式 > 【重要】WordPressをご利用のお客様へ」に記載されています。

 

パソコンのウィルススキャン

パソコンがウィルスに感染していると、FTPパスワードが盗まれてしまう可能性があるので念のため。

 

FTPアクセス制限の設定

「WEBツール > FTPアクセス制限」から設定できます。やり方はロリポップ!公式サイトをご確認ください。

 

WordPressおよび各種プラグインのアップデート

旧いバージョンは惰弱性を突かれる可能性があります。私は既に実行済みでしたが、常日頃から意識しておいた方が良いですね。

 

サーバー移転検討中

現時点でやれるだけのことはやったつもりですが、ロリポップ!にてハッキング被害の原因等、詳しい情報が公開されていませんので、まだ不安は残ります。

ロリポップ WordPress大量ハッキング事件についての熊谷代表の対応」なんかを見ると、会社としてどれだけのユーザー視点があるのか、正直な所やや疑問も残ります。

まだハッキング攻撃が続く可能性もありそうですので、この際レンタルサーバー移転も検討した方が良いかもしれませんね。

移転先はエックスサーバーあたりがいいのかな?

 
以上TONELIKOでした。
 

※この記事を読まれた方は、是非下記の記事も合わせて読んでみてください。

 

2014年11月追記:エックスサーバーに移転してから1年以上経ちますが、安定性、サポート体制の充実など、大変満足しています。移転作業には非常に苦労しましたので、はじめからエックスサーバーにしておけば良かったですね。


コメント

  1. […] ロリポップ!の環境には、念のため乗っ取り対策はすることにします。 […]