• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
  • Skip to footer

ハイファイブクリエイト

東京都を拠点にしたWebサイト制作。WordPress構築やシステム構築、ウェブコンサルティング

  • SERVICE
  • ABOUT
  • WORKS
  • BLOG
  • NEWS
  • CONTACT
ホーム / ブログ / 仕事のこと / ロリポップでのWordpressユーザーに対するサイト改ざんが発生

ロリポップでのWordPressユーザーに対するサイト改ざんが発生

池田祐太郎 | 2013年8月30日 公開

【2013/09/01追記】
原因が公式にアナウンスされました。

その脆弱性を侵入経路として、「当社のパーミッションの設定不備を利用」されたことが原因であることを確認しております。
当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について / 新着情報 / お知らせ – レンタルサーバーならロリポップ!

参考:
「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備 – ITmedia ニュース

 
——

 

先日、レンタルサーバーのロリポップで大規模はサイト改ざんの被害が発表されました。

当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について / 新着情報 / お知らせ – レンタルサーバーならロリポップ!

当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について___新着情報___お知らせ_-_レンタルサーバーならロリポップ!

僕のクライアントでロリポップもいくつかありましたが今のところ被害にはなっていませんでした。
ただ、今は意図的になにもしていないのかということも考えられるので注意が必要です。
とりあえずクライアントには速攻で対策しました。

目次

  • 1 被害対象者
  • 2 被害内容
  • 3 一体誰が?
  • 4 ロリポップユーザーは至急対策を
    • 4.1 WAFの有効は手間がかかる
  • 5 もしあなたのサイトに改ざんされた形跡があったら…
  • 6 一番の対策は

被害対象者

ロリポップでWordpressを使用しているユーザー8000人超。(2013/08/30 12時現在)

被害内容

サイト名に「Hacked by (サイト名)」
文字化けしている、文字コードがUTF-7に変更されている
覚えのないウィジェットが追加

現在報告されている被害は上記のようですが、今後新しい被害内容も出てくるかもしれません。

一体誰が?

ハッカー集団らしいです。これが彼らのFacebookページ
(2) Bangladesh Grey Hat Hackers
ハッキングしたサイト数を投稿しているという。。。おそらくゲーム感覚でハッキングしているのでしょう。

「今日は3000サイトハッキングしてやったぜ!すごいだろ!」

投稿からするとこんな感じです。

ロリポップユーザーは至急対策を

対策はロリポップ公式に紹介されています。
サイト改ざんへの対策をお願いいたします – ロリポップ!レンタルサーバー

WAFの有効は手間がかかる

WAFというサイト改ざん対策に一番有効だとされているツールがあるのですが、これはWordpressをインストールしたサーバーではWordpress自体も攻撃とみなしてブロックしてしまい、正しく使用できないのでロリポップでwordpressを使うユーザーはオフにしましょう、というのが一般的になっています…
サイト改ざんへの対策をお願いいたします_-_ロリポップ!レンタルサーバー

せっかくある安心ツールなので、できればwordpressを使いながらWAFも有効にしたい。
そういう場合は以下URLをご参考。(ただ、ちょっと面倒)

ロリポップ上のWordPressをWAFで防御する方法 | HASHコンサルティングオフィシャルブログ

もしあなたのサイトに改ざんされた形跡があったら…

タイトルが勝手に変わっている、文字化けしている等、あきらかに覚えのない変更があった場合改ざんされている可能性が高いです。
その場合は以下のURLの対応手順に沿って進めましょう。

WEBサイトが改ざんされてしまったら? – ロリポップ!レンタルサーバー

一番の対策は

今回の原因は「ロリポップの共有サーバーの設定」でした。
他のユーザーへ侵入できるような設定だったらしいので、まず1つに侵入すれば他のユーザーの設定ファイルにアクセスし、データベースを書き換えるという恐ろしいことになっていたのです。

しかもロリポップはデータベースのパスワードが簡単に変更できない。

mySQLのパスワードの変更方法を教えて下さい。 先日、ロリポップ.. – 人力検索はてな

変更するには直接MySQLをいじらないといけないので一般的には無理でしょう。しかもデータベースはサポート外。
普通データベースのパスワードは変更できないと厳しいと思うんですが…

一番の対策は共有サーバーを使わないということになりますが専用サーバーは費用が馬鹿にならないので現実的ではありません。
amazonが運営するAWS等が一番費用も抑えられいいかもです。

取り急ぎ、ロリポップユーザーの方はご注意ください。

WordPress保守管理サービス

Filed Under: 仕事のこと 関連タグ:改ざん

池田祐太郎

WordPressをはじめとしたCMSの導入を10年以上にわたって手掛けており、中小企業から大企業までコーポレートサイト・ランディングページ・ECサイト・ブランドサイト等、幅広いWebサイトの企画・制作・開発・プロモーション業務などを行う。2012年にハイファイブクリエイトを創業し、現在はディレクションや開発業務などを担当している。 プロフィール詳細

この記事と関連する記事

CSSフレームワークを採用するべきかしないべきか、メリットやデメリット等の考察
2019年5月11日
タグ: ツール
カテゴリー: WordPress, 仕事のこと
2018年を振り返ってウェブディレクターが勉強してメチャよかったツールや技術
2018年12月30日
タグ: ツール
カテゴリー: 仕事のこと
オープンソース検索順位チェックツールのSerposcopeを1年以上使った結果
2018年11月12日
タグ: ツール
カテゴリー: 仕事のこと

最初のサイドバー

WordPress保守管理サポート

Search

最近の投稿

  • Contact Form 7 に見つかったファイルアップロードの脆弱性はどのくらい危険なのか?
  • 2020-2021年末年始の営業のご案内
  • [WordPressサイト向け支援キャンペーン] WordPress保守管理の無料コンサルティングを実施
  • お名前.com レンタルサーバーでSSH接続する方法
  • WordPress保守管理サービスのメリット・デメリット

カテゴリー

  • CSS初心者
  • HTML初心者
  • TIPS
  • WooCommerce
  • WordPress
  • エステサロン
  • お知らせ
  • キュレーション
  • サイトマップ
  • システム会社
  • デベロッパーツール入門
  • ブログ
  • ホームページ制作
  • ホームページ制作無料講座
  • モバイル
  • 仕事のこと
  • 制作実績
  • 整体院
  • 美容院
  • 雑感

タグ

Android BtoC Chrome CMS css Fireworks Google+ HTML Illustrator iOS iPhone jQuery Mac mixi Photoshop初心者 php SEO SNS Webサイト高速化 WordPress WordPressカスタマイズ WordPressテーマ WordPress構築調査 お知らせ アクセス解析 アプリ カスタマイズ カフェ クラウド サーバー スマホサイト スマートフォン ソーシャル ツール フラットデザイン ブログ プラグイン マーケティング ライフログ リニューアル 保守管理 制作のご依頼 最適化 集客するサイト構築 飲食店

アーカイブ

CONTACT

お問い合わせはこちら

Footer

  • PRIVACY POLICY
  • 特定商取引法に基づく表示
  • 転載・引用について
  • Facebook

© 2021 high five create All rights reserved.