きのう、WprdPressフォーラムに以下のようなスレッドが立ちました。
弊社の管理している顧客サイトは、ほとんどがロリポップで運用していることもあって、「これはただ事ではない」とあわてて、深夜に対処しました。
まずは、お客さんのサイトを管理画面を含めて、全部確認。今のところは大丈夫でした。
でも被害サイトがどんどん増えているようでしたので、対策はすぐにしなければなりません。
フォーラムに投稿された情報によると、被害の共通点は以下のとおり。
ロリポップサーバーのハッキング被害内容
・サイトが文字化けになる(UTF8からUTF7に変更されていた)・一般設定のサイトタイトルがHacked by 〜...となる
・サイドバーのウィジェットが削除され、代わりに別のウィジェットが追加される
ハッカーのFacebookページには、ハッキングしたサーバーのリストがずら〜っと並んでいたらしいです・・・。
やっぱり愉快犯なんですねえ。迷惑な話です・・・。
ロリポップが共有サーバーであることから、アクセスが集中したときに不安定になりやすいことはわかっていましたが、私の担当している会社は、そこまでアクセスが多いわけではありません。
そこで、管理画面がわかりやすく、マニュアルがしっかりしていて、かつ安価なサーバであるロリポップを契約することが多かったのです。
すぐにできる対策
その1:管理画面のIDをadminにしてはいけない
管理画面のIDを、推測されやすいものにしていませんか?
インストール時の初期設定のまま「admin」にしていたり、ドメイン名そのままをIDに使っていたりすると、管理画面から侵入される可能性が高まってしまいます。
私が以前から入れている、「狂骨(Crazy Bone)」というプラグインはWordPressのログイン履歴を保存して、管理画面から見られるようにするものですが、これを時々見てみると、ホントに世界中からadmin、administratorなどのIDでログインを試みようとして失敗していることがわかります。
その2:wp-config.phpと.htaccessは、パーミッションの変更を!
フォーラムでhissiyさんが書かれていたとおり、パーミッションの変更をしました。
・wp-config.phpを404に変更・.htaccessを604に変更
10サイト分を全部変更して、この日は寝ました。
ロリポップからメールが来た
次の日(8/29)になって、ロリポップの公式新着情報をチェックしてたら、午前中に発表していた被害件数4,802件から、新たに3,636件の被害が確認されたみたい。
合計8,438件の被害・・・まだまだ増えるかもしれない。
ロリポップからのメール1通目
新構成サーバー移設前よりご利用いただいておりました
下記形式のフルパスをご利用いただくことができなくなっております。
▽対象となるフルパスの形式
/home/sites/lolipop.jp/users/***-***/web
フルパスにつきましては、新構成サーバー移設の際に変更となっておりますが、
上記形式のフルパスについても引き続きご利用いただけるよう
設定を行っておりました。
しかし、セキュリティ強化のため緊急にサーバーの仕様変更を行ったことにより
現在上記形式のフルパスをご利用いただくことができなくなっております。
そのため、お客様がご利用中の CGI や PHP のプログラムで
前述の形式のフルパスを設定されている場合、
サイト表示やプログラムの動作に影響がでているかと存じます。
お手数ではございますが、ユーザー専用ページ『アカウント情報』にございます
『フルパス』の項目で現在のフルパスをご確認いただき、
設定の変更をお願いいたします。
ふんふん。ワードプレスのサイト内でCGIを使ったことはなかったけど、PHP内でフルパスを使っていた箇所はあったっけかな・・・と、一通りチェックした。
ロリポップからのメール2通目
現在、ロリポップ!において、第三者からの大規模攻撃により WordPress を ご利用中のお客様のサイトが改ざんされる被害が発生しております。 お客様には、多大なるご心配をおかけしており大変申し訳ございません。
この攻撃に伴い、セキュリティ強化の為、 改ざんを受けていないお客様を含めた全てのお客様の サーバー領域に設置されている WordPress において、 wp-config.php のパーミッションを「400」に変更いたしました。
wp-config.php は WordPress の動作に必要な 設定情報が書き込まれたファイルです。 この変更によるサイトの動作等への影響は無いことを確認の上 変更を行っておりますが、万が一サイトの動作等でご不明な点がございましたら ユーザー専用ページ内『お問合せ』よりご連絡ください。
きのうの夜、手動で404に変えたwp-config.phpをロリポップ側で400に更に変更したとのこと。 オーナー以外にアクセスを許す必要はないので、404である必要すらないってことか。
でもそれなら、簡単インストール機能を使った時点で、自動で400になるようにしておけばいいんじゃないの?と思ったんですが、これは素人考えなんでしょうか。
WAFを有効にしたままWordPressを運営する方法
@ockeghemさんの記事がとても役立ちそうだったのでリンク。実際、ロリポップでワードプレスを使っている人は、WAFを無効にしてしまっている人が多いんじゃないでしょうか。これはセキュリティ上、もったいないことですよね。実際、私もWAFの設定を無効にすることが多いです。 わかっちゃいるんですが、管理画面からphpを全く触れないとなると、ちょっとした修正をするにもいちいちWAF有効--->無効に変更して10分待ってから更新、というのが煩雑で、本当に困っていたので、最近は無効にしたらしっぱなし、というのが続いていました。
ロリポップがWAFの機能を入れたのが2012年の9月で、その頃からこの問題はあったので、そのうちロリポップ側で対応策を発表するだろう・・・と待っていたのですが、1年近くたった今でも状況は同じみたい。ロリポップでWAFを有効にしたまま、ワードプレスを使える方法を、きちんと整えるべきだと思うんですが。
上記URLの説明、かなり噛み砕いてわかりやすく書いてくださっているので、早めにやってみようと思います。
今回、幸い私の担当サイトはまだ被害にあっていませんが、今後のことをふまえて、セキュリティ対策をしっかりやっていきたいと思います。
