-
ID:n8aMfl さんの質問

WorldPressで今、何が起こっているのですか?

ネットニュースなどで報じられているんですが、難しくてよくわかりません。
わかりやすく教えて下さい。
あと、これからWorldPressを使うのは少し待ったほうがいいですか?

みんなの回答 11 件

ID:aPTxHe さんの回答

WordPressは問題なく、ロリポップに問題があるっぽいです。もしWPに問題があるのであれば、同時に世界中で同じようなことが起こってるはず。
ID:ujFP1N さんの回答

WorldPressではなく、WORDPRESSでぐぐり直せば少し理解も深まる筈。
ID:YKCM32 さんの回答

ロリポップがクラックされ、MySQL内のWordPressデータが直接書き換えられた、という話。だったと思う。よってWordPressの問題ではない。
ID:3ClPY7 さんの回答

今回の問題はWordPressに限っていえば、データベースパスワードなどを書くwp-config.phpのパーミッション設定をゆるくさえしてなければ防げたこと。

ロリポップはたしかにひどい設定だとしても、他社サーバーがそうじゃないとは言い切れないからさ。
ID:GJ9Z0N さんの回答

ロリポダメですかね
ID:W0iSiE さんの回答

障害そのものよりもその後の対応でもうダメだとおもった。lolipo
ID:35DBTB さんの回答

いいですか。端的のいえばですよ、
すなわちそれはワールドプロレスリングが世界で行われてるということです。ボンバイエ
ID:bVE7bh

え?

ID:9J3DM8 さんの回答

ロリポップにかぎらず、オープンソースのシステムを使うということは、常にこういう事態を想定しておかなければいけないよ。

PHPを直接書き換えて編集するんだもん。そりゃ。パーミッション設定に穴があっても仕方ない。
ID:Yi9WCV さんの回答

パーミッションが原因だという記事とWordPressのプラグインやテーマの脆弱性を利用された、という記事は色々見つかるんだが、脆弱性ってどこなんだろう?プラグインやテーマっつても広い話だし具体的にどういう対応したらいいのか分かんないね。
ID:6GpTCw さんの回答

WorldPress自体を使う事は全然OKだけど…
こう言う事はおこりうるって考えるべきなのかも…。

たまたまロリポップだったと言う事だと思う。
ロリポップの進捗情報見ていると、あんなに安価で提供してくれるのに
頑張ってくれているんだ…て思ってしまう。

すごい…私くやしい思いしています。
もっと想定してパーミッション設定を見直せばよかったとか…
ID、パスワードをもっと複雑にするべきだったとか…

狙われたんだから仕方ないって…て思えなくて…。

みなさんはWP導入の際に
この様な事を想定して、対応していた事があれば教えて欲しいです。
ID:3ClPY7

パスワードの長さと推測されにくいものにする。
パーミッションは少なくとも動作する最低まで下げる。
WAFが使えるならオン。
投稿できない時はWAF残せる方向に自分の知識をアップデート。
プラグイン、テーマで使っていないものはサーバーから削除。
上記に限らず処理に関係ないReadme系のテキストファイルも削除。
自分がどんな処理をするものをインストールしてる、動かしてるのか、わからないなりに把握する努力。
(拾い物のテーマには何回かに一回他のサイトにリダイレクトするようなものもあったし、表示用のフィルタ関数を通しておらず作者の練度が怪しいプラグインもあった)
ヘッダーからバージョン番号消す。
投稿者ページのアドレスがユーザー名にリダイレクトしないようにfunctions.phpに処理追加。
ログイン試行の記録と、試行回数を超えた場合にアカウント凍結ができるプラグインや、Google認証(スマホで発行される一時的なコードを使う)を入れる。

このくらいはやってた。

ID:6GpTCw

色々教えて頂きありがとうございます!

今回の事は勉強、知識不足だと…
WorldPressを使うのは少し待ったほうがいい?と言う気持ちに
なってしまうのは本心ですが、対応の実践が出来れば防げた事だと
思っています。

多くの方が、今回の事でショックを受けたり、この先どうしたらいいかなぁ?と思ったりしていると思います。
私も…恥ずかしながらその一人だったので、こんな対応しているよ!と言うリアルなコメントに感謝しています!

ID:sdC3L7

WorldPress w wordpressっていうとるやーんw

最終更新日:2013-09-02 (3,924 views)

関連するトピックス

ページ上部に戻る