WorldPressで今、何が起こっているのですか?
ネットニュースなどで報じられているんですが、難しくてよくわかりません。わかりやすく教えて下さい。あと、これからWorldPressを使うのは少し待ったほうがいいですか?
WordPressは問題なく、ロリポップに問題があるっぽいです。もしWPに問題があるのであれば、同時に世界中で同じようなことが起こってるはず。
WorldPressではなく、WORDPRESSでぐぐり直せば少し理解も深まる筈。
ロリポップがクラックされ、MySQL内のWordPressデータが直接書き換えられた、という話。だったと思う。よってWordPressの問題ではない。
今回の問題はWordPressに限っていえば、データベースパスワードなどを書くwp-config.phpのパーミッション設定をゆるくさえしてなければ防げたこと。
ロリポップはたしかにひどい設定だとしても、他社サーバーがそうじゃないとは言い切れないからさ。
ロリポダメですかね
障害そのものよりもその後の対応でもうダメだとおもった。lolipo
いいですか。端的のいえばですよ、すなわちそれはワールドプロレスリングが世界で行われてるということです。ボンバイエ
え?
ロリポップにかぎらず、オープンソースのシステムを使うということは、常にこういう事態を想定しておかなければいけないよ。
PHPを直接書き換えて編集するんだもん。そりゃ。パーミッション設定に穴があっても仕方ない。
パーミッションが原因だという記事とWordPressのプラグインやテーマの脆弱性を利用された、という記事は色々見つかるんだが、脆弱性ってどこなんだろう?プラグインやテーマっつても広い話だし具体的にどういう対応したらいいのか分かんないね。
WorldPress自体を使う事は全然OKだけど…こう言う事はおこりうるって考えるべきなのかも…。
たまたまロリポップだったと言う事だと思う。ロリポップの進捗情報見ていると、あんなに安価で提供してくれるのに頑張ってくれているんだ…て思ってしまう。
すごい…私くやしい思いしています。もっと想定してパーミッション設定を見直せばよかったとか…ID、パスワードをもっと複雑にするべきだったとか…
狙われたんだから仕方ないって…て思えなくて…。
みなさんはWP導入の際にこの様な事を想定して、対応していた事があれば教えて欲しいです。
パスワードの長さと推測されにくいものにする。パーミッションは少なくとも動作する最低まで下げる。WAFが使えるならオン。投稿できない時はWAF残せる方向に自分の知識をアップデート。プラグイン、テーマで使っていないものはサーバーから削除。上記に限らず処理に関係ないReadme系のテキストファイルも削除。自分がどんな処理をするものをインストールしてる、動かしてるのか、わからないなりに把握する努力。(拾い物のテーマには何回かに一回他のサイトにリダイレクトするようなものもあったし、表示用のフィルタ関数を通しておらず作者の練度が怪しいプラグインもあった)ヘッダーからバージョン番号消す。投稿者ページのアドレスがユーザー名にリダイレクトしないようにfunctions.phpに処理追加。ログイン試行の記録と、試行回数を超えた場合にアカウント凍結ができるプラグインや、Google認証(スマホで発行される一時的なコードを使う)を入れる。
このくらいはやってた。
色々教えて頂きありがとうございます!
今回の事は勉強、知識不足だと…WorldPressを使うのは少し待ったほうがいい?と言う気持ちになってしまうのは本心ですが、対応の実践が出来れば防げた事だと思っています。
多くの方が、今回の事でショックを受けたり、この先どうしたらいいかなぁ?と思ったりしていると思います。私も…恥ずかしながらその一人だったので、こんな対応しているよ!と言うリアルなコメントに感謝しています!
WorldPress w wordpressっていうとるやーんw
わかりやすい
みんなの回答 11 件
WordPressは問題なく、ロリポップに問題があるっぽいです。もしWPに問題があるのであれば、同時に世界中で同じようなことが起こってるはず。
WorldPressではなく、WORDPRESSでぐぐり直せば少し理解も深まる筈。
ロリポップがクラックされ、MySQL内のWordPressデータが直接書き換えられた、という話。だったと思う。よってWordPressの問題ではない。
今回の問題はWordPressに限っていえば、データベースパスワードなどを書くwp-config.phpのパーミッション設定をゆるくさえしてなければ防げたこと。
ロリポップはたしかにひどい設定だとしても、他社サーバーがそうじゃないとは言い切れないからさ。
ロリポダメですかね
障害そのものよりもその後の対応でもうダメだとおもった。lolipo
いいですか。端的のいえばですよ、
すなわちそれはワールドプロレスリングが世界で行われてるということです。ボンバイエ
ロリポップにかぎらず、オープンソースのシステムを使うということは、常にこういう事態を想定しておかなければいけないよ。
PHPを直接書き換えて編集するんだもん。そりゃ。パーミッション設定に穴があっても仕方ない。
パーミッションが原因だという記事とWordPressのプラグインやテーマの脆弱性を利用された、という記事は色々見つかるんだが、脆弱性ってどこなんだろう?プラグインやテーマっつても広い話だし具体的にどういう対応したらいいのか分かんないね。
WorldPress自体を使う事は全然OKだけど…
こう言う事はおこりうるって考えるべきなのかも…。
たまたまロリポップだったと言う事だと思う。
ロリポップの進捗情報見ていると、あんなに安価で提供してくれるのに
頑張ってくれているんだ…て思ってしまう。
すごい…私くやしい思いしています。
もっと想定してパーミッション設定を見直せばよかったとか…
ID、パスワードをもっと複雑にするべきだったとか…
狙われたんだから仕方ないって…て思えなくて…。
みなさんはWP導入の際に
この様な事を想定して、対応していた事があれば教えて欲しいです。
わかりやすい
ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策 | 徳丸浩の日記
http://blog.tokumaru.org/2013/09/symlink-attack.html関連するトピックス