[B! ロリポップ] kosiganのブックマーク

ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策

既に報道されているように、ロリポップ！レンタルサーバーに対する改ざん攻撃により、被害を受けたユーザー数は8428件にのぼるということです。ここまで影響が大きくなった原因は、報道によると、(1)「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされた、(2)パーミッション設定の不備を悪用されて被害が拡大した、ということのようです。 29日夜の時点では、攻撃者の改ざん手法について「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされて「wp-config.phpの」の設定情報が抜き出されたと説明していたが、30日午後7時過ぎの説明で、この脆弱性が侵入経路となって同社のパーミッション設定の不備を悪用されたことが原因だったことを明らかにした。「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備

kosigan 2013/09/02

リンク

「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備

paperboy＆co.のレンタルサーバサービス「ロリポップ！レンタルサーバー」への攻撃でWordPressを利用している一部ユーザーのサイトが改ざんされた問題で、同社は8月30日、原因について同社によるパーミッションの設定に不備があったことを明らかにした。被害を受けたユーザー数は当初の4802件から8428件に修正している。 29日夜の時点では、攻撃者の改ざん手法について「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされて「wp-config.phpの」の設定情報が抜き出されたと説明していたが、30日午後7時過ぎの説明で、この脆弱性が侵入経路となって同社のパーミッション設定の不備を悪用されたことが原因だったことを明らかにした。同社は「被害拡大の防止を最優先としており、本件の発表が今となりましたこと深くお詫び申し上げます」と謝罪している。攻撃者は

kosigan 2013/08/30

ロリポップ

リンク

ロリポップでWordPressの改竄が拡がった理由

ロリポップでの大規模なWordPressサイトの改竄について http://lolipop.jp/info/news/4149/ ロリポップからのリリースでは、管理パスワードとログインへのアクセス制限の強化を推奨して、パーミッションの変更と全体のウイルスチェックを行うとしている。WordPressそのもののアップデートはマニュアルに方法が記載されているものの、リリースでは触れられていない。このことから、被害が大きくなったのは、ロリポップの提供していたWordPressのインストール手順に問題があり、wp-config.phpなどのファイルのパーミッションが不適切だったためではないかと推察出来る。いくつかのアカウントだけWordPressの管理パスワードが突破される、というのであれば、世界中でほぼいつでも起こっている。もし、あるユーザーの管理パスワードが脆弱で推測することが出来てしまう

kosigan 2013/08/30

リンク

「ロリポップ」でWordPress利用サイトが改ざん　「大規模攻撃」で被害4802件

paperboy＆co.は8月29日、レンタルサーバサービス「ロリポップ！レンタルサーバー」で第三者から「大規模攻撃」を受け、WordPressを利用している一部ユーザーのサイトが改ざんされる被害が発生したと発表した。「多大なるご迷惑をおかけしており大変申し訳ございません」とユーザーに謝罪している。対象となったユーザーは4802件。WordPressユーザーの管理画面からの不正アクセスにより、データの改ざんや不正ファイルの設置が行われたという。対策として、ユーザーのサーバ領域に設置されているWordPressの設定情報ファイル「wp-config.php」のパーミッションを「400」（管理者のみ読み取り可）に変更。全ファイルにウイルススキャンを行い、不正なファイルを検知した場合はパーミッションを「000」（使用不可）に変更する。関連記事「@PAGES」でユーザー情報流出　2月までに

kosigan 2013/08/29

リンク

ロリポップ! でデータベースをMySQL5.6.11にアップデートする手順

先日、当ブログで利用しているレンタルサーバー「ロリポップ!」がMySQLの最新版5.6.11を導入したことをリリースしていました。しかも、データベースサーバーにSSDを採用したとのこと。 WordPress移行当時のMySQLバージョンが5.1だったこともあって、今回最新版にアップデートしてみました。ロリポップ! でデータベースの移行を行う場合、ロリポプラン、チカッパプランでも可能ですが、ロリポプランはチカッパプランと違って、複数データベースの作成ができません。そのため、ロリポプランで以下の手順で移行する場合、一度データベースがなくなった状態となります。アップデートがすべて完了するまで、ブログ記事などは一切表示ができなくなりますので、その点だけ留意してください。できれば作業は深夜に、メンテナンス画面を表示させたりするなどしておくと、アクセスしてくれた人に親切ではないかと思いますよ。