[WordPress]ロリポップ!のWordPressに大規模なクラッキングが発生

【PR】当Webサイトのコンテンツにはプロモーション(広告)が含まれています

スポンサードサーチ

2013年9月3日追記:ロリポップ!サーバにターゲットを絞ったクラッキングでしたので改題&記事修正をしました。

2013年08月28日に、ホスティングサーバレンタルサーバーサービス「ロリポップ!」に設置されたWordPressサイトで大規模なクラッキングが発生しているようです。

WordPressの公式フォーラムにも報告が上がってます。

注意:該当トピック中に記載があるWebサイトにアクセスすることで二次被害を被る可能性がありますので、不用意にアクセスするようなことはしないようにお願いします。

WordPress › フォーラム » サイト改ざん?

また、永江一石さんのブログ「More Access! More Fun!」では以下の2本の記事で注意を促しています。

【緊急警報!!】ロリポップとGMOのinterQのWordPressが軒並み乗っ取られてます

続) ロリポップのWordPress大量乗っ取りについての推測と対応

以下のハッカーの声明リストを見ると、乗っ取ったWebサイトが大量に記載されています。

注意:公式フォーラムと同様に、クラッキングされたWebサイトにアクセスすることで二次被害を被る可能性がありますので、不用意にアクセスするようなことはしないようにお願いします。

WordPress Login画面

目次

クラッキングされた場合に発生する現象

クラッキングされた場合は、以下のような現象が発生するようです。

  • WordPressサイトが文字化けする
  • 画面が真っ白になる
  • サイトタイトル・キャッチフレーズが「Hacked by Krad Xin」に書き換えられる
  • 個別ページが表示不可になる
  • ウィジェットにメッセージとコードが追加される
  • .htaccessが改ざんされる

これ以外の現象もあるかもしれませんので、サーバのタイムスタンプ等を確認して、変更されていないかチェックをしてみてください。

原因は現時点では不明

現状、サーバ側の問題なのか、MySQLの虚弱性なのか、WordPressのセキュリティホールなのか、どこに原因があるのかは分かっていないようですが、上記の公式フォーラム内でhissyさんが

「R.I.P lolipop part 1」とコメントされている

と述べているので、クラッカーはロリポップ!レンタルサーバーをターゲットにしている可能性があります。

ロリポップからは8月29日13:26段階で以下の情報が出ています。

当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について

被害状況は

「ロリポップ!レンタルサーバー」のユーザーサーバーにおいてWordPressをインストールされている一部のお客さま(4,802件)

対策は

1)セキュリティ面の強化の為、対象となるサーバー領域に設置されているWordPressにおいて、wp-config.php のパーミッションを「400」に変更いたしましたが、さらなる被害拡大を防止する対策として、被害が確認されていないWordPressサイトにつきましても、wp-config.php のパーミッションを「400」に変更する作業を進めております。

2)引き続き、全ファイルに対してウィルススキャンを実行しており、現在の進捗状況は約33%となっております。
不正なファイルを検知した場合、全該当ファイルのパーミッションを「000」に変更し、該当ファイルにアクセスできないようにします。

ということですが、現状では原因も不明ですので引き続き注意が必要です。

とりあえずの対処法

原因は不明とはいえとりあえずできるだけの対処は行う方が望ましいです。

まずは、ロリポップ!が出している対処法は以下の通りです。

サイト改ざんへの対策をお願いいたします – ロリポップ!レンタルサーバー:ロリポップ!レンタルサーバーより、セキュリティに関する重要なお知らせです

これ以外にはwordPressの方でも対策を行う必要があります。

ID、パスワードは簡単に推測できないものに変える

WordPress]全世界のWordPressサイトに大規模攻撃: デフォルトユーザーの’admin’を変更する方法

wp-config.phpと.htaccessのパーミッションを変更する

こちらは上記ロリポップが出している対処法と重なる部分ですが、

.htaccessのパーミッションは「604」
wp-config.phpのパーミッションは「400」

にした方が良さそうです。

WordPressのログイン履歴を見る

私のWebサイトにも入れておりますが、WordPressのログイン履歴を表示するPluginの「Crazy Bone」は入れておいた方がいいと思います。

WordPress › Crazy Bone « WordPress Plugins

その他の対策

これ上記以外にも、出来るだけの対策をこれを機会に行ってる方が望ましいでしょう。

  • ホスティングサービス管理画面やFTP等のID、パスワードを変更する
  • DBのパスワードを変更する
  • wp-config.phpのセキュリティートークン文字列を変更する

More Access! More Fun!:WordPress初心者向け セキュリティ強度をできる限り上げる方法

また、何か情報が出てくれば追記又はエントリーをしたいと思います。

追記:2013年9月1日

ロリポップからは現段階で以下の情報が出ています。

[2013/08/29 22:40 追記]

[被害範囲]

「ロリポップ!レンタルサーバー」のユーザーサーバーにおいてWordPressをインストールされている一部のお客様(8,438件)

[原因]

WordPressのプラグインやテーマの脆弱性を利用し、不正なファイルがアップロードされました。
またそのファイルを利用し、wp-config.phpの設定情報が抜き出されることにより、データベースの書き換えが行われ、WordPressサイトが改ざんされました。

[対策と進捗について]

1)サーバー上にある全ての WordPress で使用しているデータベースのパスワード、および該当するデータベースを使用している CMS の設定ファイル上のパスワードを新しいものに逐次書き換えております。

2)サーバーの設定を変更し FollowSymLinks を無効にしました。また、SymLinksIfOwnerMatch を有効にするため、ユーザーごとに .htaccess 内の記述の置換を逐次行っております。

3)サーバー上にあるすべてのファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合には、アクセスができないようにパーミッションを「000」へ随時変更し、再度不正なファイルがアップロードされないよう、お客さまのサーバー領域のWAF(Web Application Firewall)を随時有効にしております。

[2013/08/30 04:13 追記]

[対策について]

2013/08/29 22:40 にご報告した対策に加えて、お客様のデータベースの安全性を確保するため、ロリポップ!レンタルサーバー上にある全てのWordPressで使用しているデータベースのパスワード、および該当するデータベースを使用しているCMSの設定ファイル上のパスワードの書き換えを行います。

[2013/08/30 19:13 追記]

[原因]

2013/08/29 22:40 時点でのご報告において、改ざん手法を「WordPressのプラグインやテーマの脆弱性を利用」として説明を行っておりましたが、その脆弱性を侵入経路として、「当社のパーミッションの設定不備を利用」されたことが原因であることを確認しております。

[2013/08/30 23:02 追記]

[対策について]

1)サーバー上にある全ての WordPress で使用しているデータベースのパスワード、および該当するデータベースを使用しているCMSの設定ファイル上のパスワードを新しいものに逐次書き換えております。

2)サーバーの設定を変更しFollowSymLinksを無効にしました。また、SymLinksIfOwnerMatchを有効にするため、ユーザーごとに.htaccess内の記述の置換を逐次行っております。

3)サーバー上にあるすべてのファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合には、アクセスができないようにパーミッションを「000」へ随時変更しております。

4)3)において不正なファイルを検知したお客様のサーバー領域へ再度不正なファイルがアップロードされないようにWAF(Web Application Firewall)を随時有効にしております。

結局、クラッキングはWordPressのプラグインやテーマの脆弱性だけの問題ではなく、その脆弱性を侵入経路としてロリポップ!のパーミッションの設定不備を利用されたことが原因であった、ということでひとまずは他のホスティングサービスについては影響はなさそうな感じですね。

追記の追記

どうもWordPressの脆弱性は関係ないようで、サーバのパーミッション設定不備が原因のようです。

GMO(ロリポップ)その他で今日も激しくサイト乗っ取りが横行している件で(追記あり)

WordPressの脆弱性をつぶすのは当然ですが、ホスティングサービス側の問題だとなると、やはり信頼をおけるサービス以外は使えないですね。

ECサイト&マーケットプレイスサイトを低コスト・短納期で構築するなら

多言語・多通貨対応ECサイト&マーケットプレイスサイト構築パッケージ CS-Cart は、B2C、B2B、B2B2C、B2B2Bのどのビジネスモデルにも対応したECサイト&マーケットプレイスサイトを低コスト・短納期で構築が可能です。

ECサイトやマーケットプレイスサイトの構築を検討している場合には、是非ご検討ください。

経営課題の解決でお困りではありませんか?

DXを始めとするITを使った経営課題の解決が上手くいっていない企業は数多くあります。

それは、単なるソリューションの導入や、社内人材への丸投げとなっており、課題解決がゴールになっていないからです。

そのためには、経営とITを理解した人材が、経営者層と共に取り組み、経営者の頭の中を可視化することが必須要件です。

現在、1時間の無料オンライン・コンサルティングを実施しております。

是非この機会にご相談ください。

経営課題を解決するWebサイト構築の最適解は?

経営課題を解決するWebサイトとは、何をおいてもWebサイトに集客する事が必須要件です。

そうなると、最強のWebサイトとは「検索エンジンへの登録と分析、GA4での現状分析ができ、集客のための実施施策に落とし込みができ、コンバージョンに繋げられ、改善の分析ができるWebサイト」一択です。

まずは、現状のWebサイトが経営課題を解決することができるのかをまずご相談ください。

ECサイトの最適解はクライアント毎に異なります

経営課題を解決する最適なECサイト、越境ECサイト、BtoB ECサイト、マーケットプレイスを構築するためのシステムは、クライアント毎に異なります。

まずは、御社にとって経営課題を解決するには、どういったシステムが必要であり、ASP、SaaS、パッケージ、フルスクラッチのどれが最適なのかの検証が必要です。

スポンサードサーチ