8月末の28日、ロリポップのレンタルサーバーの顧客サイトでwordpressのハッキングが発生した。
wordpressへのアタックということで、他人事ではないので、事態の推移を注意深く見守ることにした。
ことの始まりは、Wordpressフォーラムに書き込まれた以下の発言。
- サイト改ざん? – WordPressフォーラム
この発言を、有名ブログが取り上げたことから、一気にネット上で広まる。
- 【緊急警報!!】ロリポップとGMOのinterQのWordPressが軒並み乗っ取られてます – More Access! More Fun!
その後、大騒ぎになり、ロリポップのサービスは大混乱に陥った。
- 第三者によるユーザーサイトの改ざん被害に関するご報告 – ロリポップレンタルサーバー
サーバーをハッキングされた事件とは別に、先の有名ブログオーナーがGMO社長にからまれるということがおき、ネット上で燃え上がる。
- 「ロリポップ!」で大規模なWordPressへの攻撃発覚、注意喚起した人がなぜかGMO社長に絡まれる – Slashdot japan
あなたの指摘で事実確認中ですが、確認が出来ていない情報をこんなに拡散して本当に困ったもんだ。事実でなかったらどう責任を取るつもりなんですか?株価にまで言及してますが責任とれますか?現段階でWPの脆弱性は確認出来てますが弊社へのハッキングなどの事実は確認できません@Isseki3
— 熊谷正寿 (@m_kumagai) August 28, 2013
結局、ハッキングの事態が沈静化後、GMO社長の謝罪コメントが出て収束した。
横道にそれた話題はおいといて、結局、ハッキングの原因は、サーバーの設定に問題があったということらしい。
サーバー全体の設定でFollowSymLinksをオンにしていたため、ユーザーから別ユーザーのwp-config.phpの内容が覗ける状態にあった。wp-config.phpには、パスワードなども記載されているため、ここがのぞかれると簡単に乗っ取られる。
あるユーザーのアカウントがのっとられ、そこから芋づる式にサーバー全体に乗っ取り被害が広がったということらしい。結局、8,438件のWordpressが乗っ取られた。
最初のユーザの乗っ取りは、timthumb.phpのセキュリティホールではないかといわれている。timthumb.phpの古いバージョンには、有名なセキュリティホールが存在していることが知られている。
当サイトも以前、注意喚起を受けたことがある。
ロリポップでの事件を受け、当サイトが載っているレンタルサーバー会社からも注意喚起があった。セキュリティレベルもさらにあげるというアナウンスもされた。