• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
  • Skip to footer

株式会社ハイファイブクリエイト

東京都を拠点にWebサイト制作やシステム構築、WordPress保守管理やウェブコンサルティングを提供。

  • SERVICE
  • ABOUT
  • WORKS
  • BLOG
  • NEWS
  • CONTACT
ホーム / ブログ / 仕事のこと / ロリポップでのWordpressユーザーに対するサイト改ざんが発生

ロリポップでのWordPressユーザーに対するサイト改ざんが発生

池田祐太郎 | 2013年8月30日 公開

【2013/09/01追記】
原因が公式にアナウンスされました。

その脆弱性を侵入経路として、「当社のパーミッションの設定不備を利用」されたことが原因であることを確認しております。
当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について / 新着情報 / お知らせ – レンタルサーバーならロリポップ!

参考:
「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備 – ITmedia ニュース

 
——

 

先日、レンタルサーバーのロリポップで大規模はサイト改ざんの被害が発表されました。

当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について / 新着情報 / お知らせ – レンタルサーバーならロリポップ!

当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について___新着情報___お知らせ_-_レンタルサーバーならロリポップ!

僕のクライアントでロリポップもいくつかありましたが今のところ被害にはなっていませんでした。
ただ、今は意図的になにもしていないのかということも考えられるので注意が必要です。
とりあえずクライアントには速攻で対策しました。

目次

  • 1 被害対象者
  • 2 被害内容
  • 3 一体誰が?
  • 4 ロリポップユーザーは至急対策を
    • 4.1 WAFの有効は手間がかかる
  • 5 もしあなたのサイトに改ざんされた形跡があったら…
  • 6 一番の対策は

被害対象者

ロリポップでWordpressを使用しているユーザー8000人超。(2013/08/30 12時現在)

被害内容

サイト名に「Hacked by (サイト名)」
文字化けしている、文字コードがUTF-7に変更されている
覚えのないウィジェットが追加

現在報告されている被害は上記のようですが、今後新しい被害内容も出てくるかもしれません。

一体誰が?

ハッカー集団らしいです。これが彼らのFacebookページ
(2) Bangladesh Grey Hat Hackers
ハッキングしたサイト数を投稿しているという。。。おそらくゲーム感覚でハッキングしているのでしょう。

「今日は3000サイトハッキングしてやったぜ!すごいだろ!」

投稿からするとこんな感じです。

ロリポップユーザーは至急対策を

対策はロリポップ公式に紹介されています。
サイト改ざんへの対策をお願いいたします – ロリポップ!レンタルサーバー

WAFの有効は手間がかかる

WAFというサイト改ざん対策に一番有効だとされているツールがあるのですが、これはWordpressをインストールしたサーバーではWordpress自体も攻撃とみなしてブロックしてしまい、正しく使用できないのでロリポップでwordpressを使うユーザーはオフにしましょう、というのが一般的になっています…
サイト改ざんへの対策をお願いいたします_-_ロリポップ!レンタルサーバー

せっかくある安心ツールなので、できればwordpressを使いながらWAFも有効にしたい。
そういう場合は以下URLをご参考。(ただ、ちょっと面倒)

ロリポップ上のWordPressをWAFで防御する方法 | HASHコンサルティングオフィシャルブログ

もしあなたのサイトに改ざんされた形跡があったら…

タイトルが勝手に変わっている、文字化けしている等、あきらかに覚えのない変更があった場合改ざんされている可能性が高いです。
その場合は以下のURLの対応手順に沿って進めましょう。

WEBサイトが改ざんされてしまったら? – ロリポップ!レンタルサーバー

一番の対策は

今回の原因は「ロリポップの共有サーバーの設定」でした。
他のユーザーへ侵入できるような設定だったらしいので、まず1つに侵入すれば他のユーザーの設定ファイルにアクセスし、データベースを書き換えるという恐ろしいことになっていたのです。

しかもロリポップはデータベースのパスワードが簡単に変更できない。

mySQLのパスワードの変更方法を教えて下さい。 先日、ロリポップ.. – 人力検索はてな

変更するには直接MySQLをいじらないといけないので一般的には無理でしょう。しかもデータベースはサポート外。
普通データベースのパスワードは変更できないと厳しいと思うんですが…

一番の対策は共有サーバーを使わないということになりますが専用サーバーは費用が馬鹿にならないので現実的ではありません。
amazonが運営するAWS等が一番費用も抑えられいいかもです。

取り急ぎ、ロリポップユーザーの方はご注意ください。

メールコンサルティング
WordPress保守管理サービス

カテゴリ仕事のこと 関連タグ:改ざん

池田祐太郎

WordPress の構築・保守を10年以上にわたって手掛けており、主に小〜中規模のコーポレートサイト・ECサイト・ブランドサイト等の企画・開発・保守・コンサルティングなどを行ってきました。2012年にハイファイブクリエイトを創業し、現在は WordPress の保守やコンサルティング、ディレクションや開発業務などを担当しています。 プロフィール詳細

この記事と関連する記事

なぜ WordPress はバックアップが必要なのか
2022年7月19日
タグ: UpdraftPlus, 保守管理, 改ざん
カテゴリー: WordPress
プロでも見落とす!Photoshopのカラープロファイルが異なっていたために発生した色のズレ
2024年5月28日
タグ: Photoshop, Photoshop初心者
カテゴリー: ホームページ制作, 仕事のこと
ストレス軽減&集中力アップ!自然の音がもたらすポジティブな影響
2024年5月15日
タグ: 自然音
カテゴリー: 仕事のこと

最初のサイドバー

WordPress保守管理サポート

Search

最近の投稿

  • 2024-2025年末年始の営業のご案内
  • WordPressのプラグイン自動更新のロールバック機能が正しく動くのか確認してみた
  • 遅延読み込み開始させる画像を変更させるWordPressカスタマイズ
  • WordPressで特定の画像やアイキャッチ画像をlink rel=”preload”に設定する
  • WordPressのプラグインがどのくらい表示速度を重くさせるのか22個のプラグインで検証

カテゴリー

  • CSS初心者
  • HTML初心者
  • TIPS
  • WooCommerce
  • WordPress
  • エステサロン
  • お知らせ
  • キュレーション
  • サイトマップ
  • システム会社
  • デベロッパーツール入門
  • ブログ
  • ホームページ制作
  • ホームページ制作無料講座
  • メール
  • モバイル
  • 仕事のこと
  • 制作実績
  • 整体院
  • 美容院
  • 雑感

タグ

ai Android ChatGPT CMS css DALL-E elementor gmail google workspace Gutenberg HTML iPhone jQuery Mac Photoshop php SEO SNS ssh SSL Webサイト高速化 Windows WordPress WordPressカスタマイズ WordPressテーマ WordPress構築調査 WPRocket アクセス解析 クラウドソーシング サイト引っ越し サブスクリプション サーバー ショートカットキー スマホサイト スマートフォン セキュリティ ツール ブログ プラグイン マーケティング リニューアル レスポンシブWebデザイン 保守管理 最適化 集客するサイト構築

アーカイブ

CONTACT

お問い合わせはこちら

Footer

  • PRIVACY POLICY
  • 情報セキュリティ基本方針
  • 特定商取引法に基づく表示
  • 転載/引用

© 2025 high five create All rights reserved.