投稿
日本語版のWordPress.orgにはまだアップされていませんが、WordPress 4.0.1が11月20日に公開されました。
今回のバージョンアップは、セキュリティの脆弱性への対策がメインですので、早めの対応が必要です。
WordPress 4.0.1で脆弱性対応
2013年9月3日追記:ロリポップ!サーバにターゲットを絞ったクラッキングでしたので改題&記事修正をしました。
2013年08月28日に、ホスティングサーバレンタルサーバーサービス「ロリポップ!」に設置されたWordPressサイトで大規模なクラッキングが発生しているようです。
WordPressの公式フォーラムにも報告が上がってます。
注意:該当トピック中に記載があるWebサイトにアクセスすることで二次被害を被る可能性がありますので、不用意にアクセスするようなことはしないようにお願いします。
また、永江一石さんのブログ「More Access! More Fun!」では以下の2本の記事で注意を促しています。
【緊急警報!!】ロリポップとGMOのinterQのWordPressが軒並み乗っ取られてます
続) ロリポップのWordPress大量乗っ取りについての推測と対応
以下のハッカーの声明リストを見ると、乗っ取ったWebサイトが大量に記載されています。
注意:公式フォーラムと同様に、クラッキングされたWebサイトにアクセスすることで二次被害を被る可能性がありますので、不用意にアクセスするようなことはしないようにお願いします。
http://www.hack-db.com/hacker/Krad_Xin/all.html
もっと読む
2013年4月13日のTechCrunchに「全世界のWordPressサイトに大規模攻撃; デフォルトのアドミンユーザ名’admin’がねらわれている」と載っていましたが、WordPressをインストールする際にテストサイト等は何も考えずにユーザーIDを「admin」にしてしまっているケースもあると思います。
そこで、デフォルトのアドミンユーザー名「admin」の代わりに別のアカウントを作成して「admin」を削除する方法です。
【1】DBのバックアップを取る
まずはデータベースのバックアップを行います。データベースのバックアップについてはWordPress Codex日本語版:WordPress のバックアップをご覧ください。
Plugin(プラグイン)のWordPress Importerが導入されている場合、簡易な形で管理画面の
ツール > エクスポート
WordPress 管理画面 ツール エキスポート
で「全てのコンテンツ」をダウンロードする方法もありますが、どちらにしても作業前には何らかの形でバックアップを取っておいてください。