WP 改ざんその後

今日2日もロリポップからメールあり。
wp-config.php 内の記述を変更するとのこと。
なんだか大ごとのよう。
気になったので検索したら、WPの問題じゃないみたい。
以下参考サイト。

GMO(ロリポップ)その他で今日も激しくサイト乗っ取りが横行している件で(追記あり
Krad XinによるロリポップWordPressサイト大量ハッキングまとめ
続) ロリポップのWordPress大量乗っ取りについての推測と対応
ロリポップでWordPressの改竄が拡がった理由

ロリポップはWPを自動インストールできるのが楽ちんなんだけれど、
ファイルパーミッションが自動で緩い設定になってしまい、
変更を促すようなこともしていなかった。
なんらかのセキュリティーホールからサーバーに入られ、
で、サーバーは共有なので、
wp-config.php のグループパーミッションが読み取り可(644)だと、
そこからデータベースのPWが抜かれてしまう。
だから改ざんは、WPの管理画面からじゃなくて、
データベースにアクセスされたから、ということのよう。
(DBのPWも使いまわしてたんじゃないか、との疑義も出てる)
詳細はわからないけれど、複数の人が同じことを指摘してるし、
ロリポップもパーミッションの問題だとは認めたみたい。

ファイルパーミッションなんて言われても、
普通、なにそれ?だよね。
私もMTで少しかじってなきゃパニック状態だったかも。
でも、ロリポップは突貫工事をしてるみたいだから、
しばらくすれば回復するとは思うけれど。

で、お試しで他のサーバーに作ったWPサイトも
同じ問題を抱えてることに気付く。
ファイルパーミッション、想像してたよりずっと大事なんだね。
友人用サイトもとりあえず、wp-config.php を600にする。
それぞれのファイルの最適値がよくわからず、
ディレクトリは777だったので705にするとか、
604にしたら表示されなくなちゃったので644に戻すとか。

sitemix にも久しぶりに行ってみる。
そういえばWPの更新もしてなかった。
プラグインと併せて更新8個もたまってるのでまずWPを、
とやってみるも、管理画面からの自動更新が展開が遅く、
一度目はフリーズ。
二度目も、更新を展開しています…でフリーズ状態。
FTPアップはかったるいので、また時間のある時にしよう。
ここ、もう閉じたほうがいいのかも。

気になるのは、仕事+アルファのMT。
共有サーバーとDB、ファイルパーミッションの関係は同だからね。
で、ちらりと、ずいぶん久しぶりにFTPで接続してみた。
mt-config.cgi は所有者のみの701だった。
まああのサーバーは大丈夫かなあ。根拠はないけど、
すでにマイナーだし、MTのシェアの問題もあるし…。

共通して大事なのは、とにかくバックアップをとっておくこと!!

というようなことと仕事で、今日は一日が終わる。
数日前から逆流性食道炎再発。
もうちょっとまっとうな生活しなきゃなあ。

  • トップへ戻る
  • カテゴリアーカイブ
  • HOME

コメント

メールアドレスが公開されることはありません。* は必須項目です。


*


*