「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備
paperboy&co.のレンタルサーバサービス「ロリポップ!レンタルサーバー」への攻撃でWordPressを利用している一部ユーザーのサイトが改ざんされた問題で、同社は8月30日、原因について同社によるパーミッションの設定に不備があったことを明らかにした。被害を受けたユーザー数は当初の4802件から8428件に修正している。 29日夜の時点では、攻撃者の改ざん手法について「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされて「wp-config.phpの」の設定情報が抜き出されたと説明していたが、30日午後7時過ぎの説明で、この脆弱性が侵入経路となって同社のパーミッション設定の不備を悪用されたことが原因だったことを明らかにした。同社は「被害拡大の防止を最優先としており、本件の発表が今となりましたこと深くお詫び申し上げます」と謝罪している。 攻撃者は
「ロリポップ!レンタルサーバー」に大規模攻撃--WordPressサイト4802件が改ざん
paperboy&co.は8月29日、同社の提供するレンタルサーバーサービス「ロリポップ!レンタルサーバー」(ロリポップ)において、第三者からの大規模攻撃により、WordPressを利用する顧客のサイトが改ざんされる被害が発生したことを発表した。 対象となるのは、ロリポップのユーザーサーバーにおいてWordPressをインストールしている顧客4802件で、管理画面からの不正アクセスにより、データが改竄されたり不正ファイルが設置されたりしたという。 これを受け、同社ではセキュリティ強化のため、顧客のサーバー領域に設置されているWordPressにおいて、wp-config.php のパーミッションを「400」に変更。また、全ファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合、パーミッションを「000」に変更して該当ファイルにアクセスできないようにしている。8月29日13時
プラグイン Exec-PHPを避ける理由
Exec-PHPの使用について、なぜexec-PHPがモテるのか、WordPressを使ってる僕が気になったある記事のこと、等、様々な意見が出て、盛り上がりを見せています。 Exec-PHP をローカルでざっと試してみた。分かったのは、 投稿の本文に <php コード ?> を記述すると、eval で評価する(PHP として実行する) 管理者等一部のユーザーの投稿のみ、eval で評価する対象となる という処理を行うらしい、ということです。 投稿の中で PHP コードを書いて実行できると、確かに自由度があがります。しかし、任意の PHP コードが実行できてしまうと、セキュリティリスクが高まります。 (管理者パスワード漏洩/ブルートフォースアタック等で)不正ログインされた後、投稿本文にコードを書き込まれる SQLインジェクション/CSRF脆弱性があると、悪意あるPHPコードを投稿本文に埋め込
【緊急】WordPressでスマホ用WPtouch使ってる初心者は注意です|More Access! More Fun
最近、WordPressを使ってるサーバに対し、猛烈アタックが行われてることはご存じだと思います。もちろんWordPress使ってなくても猛攻撃されてますけど、使ってると構造とかがわかりやすいのでさらに標的になりやすいわけです。 こちらを参考に WordPress初心者の皆さま、まさか「admin」アカウントは残してないよね? アタックがある度に相手のIPアドレスをブロックしているのですが、大半が中国 このように2秒間隔でadminというアカウントでパスワード変えてアタックして来ます。相手のIPアドレスは222.76.55.110なので この辺のサーバ。乗っ取られたボットなのか偽装なのか、それともばれてもいいやと堂々とやってるのかは不明です。中には1秒ごとにパスワード変えつつ数百〜千回チャレンジしてるのもある。サーバの負担も大変だよ・・ ラトビアとイラクもあります。しかしネスケの4.0と3
WordPressの脆弱性スキャンツールを開発する「WPScan」プロジェクトがスタート | OSDN Magazine
オープンソースのブログソフト「WordPress」の脆弱性をスキャンするツールを開発するプロジェクト「WordPress Security Scanner(WPScan)」が立ち上がった。ブラックボックスアプローチを利用して脆弱性をチェックできるツールを目指す。 WPScanは、インストールしたWordPressの既知のセキュリティ問題を検出するツールを目指す。WordPress向けのパスワードブルートフォース(総当り攻撃)ツールから発展したもので、セキュリティ専門家やWordPress管理者向けとしている。Rubyで作成、GPL v3で公開する。 機能としては、ユーザー名偽装や弱いパスワードのクラッキング、バージョン情報チェック、バージョンに応じた脆弱性情報表示、インストールされているプラグインの調査やその脆弱性情報表示などが搭載される。 WPScanはまだ開発段階で正式なリリースはされ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
