2013年09月02日
ロリポップに設置したワードプレスがハックされた事後処理の覚書
うちのメイン商材は、WordPressを利用した簡易CMSブログ型ホームページ。
しかも2年ほど前から推奨サーバーをロリポップにしていたので
今回のハッキング騒動は大打撃である。
なにせ他サーバーからロリポップへの乗り換えが
全てのクライアント様で完了していたし、
WordPressで制作したサイトが20件近くあるのだから。
というか実際にクライアント様サイトが
ハッキングされてしまった。2件も。
基本的な対処策を施していたにもかかわらずだ。
ロリポップ側の発表が信頼できるものかどうかは別として
WordPressそのものやプラグインの脆弱性をついたのは発端に過ぎず、
サーバー内のファイル設定に起因して、
横断的かつ爆発的に被害が拡大した様相である。
なんと8400サイト超のハッキングが確認されたようだ。
起こってしまったことは仕方がない。
とにかく対処しなければ! という月末でした、8月末は。
応急措置の覚書
①文字コードを訂正
本来UTF-8という文字コードのはずが、
UTF-7に改ざんされているので、その訂正。
設定>表示設定>UTF-7→UTF-8へ。
(ウィジェットにスクリプトを書き込むのにクロスサイトスクリプティングで注入するためか?)
②タイトルと説明文を訂正
設定>サイト名と説明文を修正。
訂正前にエクスポート作業をすると取得(ダウンロード)できるxmlファイルがハッキングされた表示のままなので、上記訂正をした後、エクスポートする。
③ウィジェットに読み込みエラーを誘うスクリプトが埋めてあるので削除する。
全てのウィジェットが改ざんされている模様。
④ロリポップサーバーの管理画面のWebツールからWAF(Webアプリケーションファイヤーウォール)設定が有効化になっているかをチェックする。
⑤wp-config.phpファイルのパーミションを400にする。
.htaccessのパーミションを604にする。
⑥WordPressのログインIDとパスワードを変更する。
IDは変更できないので、新たにユーザーを作って記事移譲。
⑦WordPressのデータベースのパスワードを変更し、
wp-config.php内のデータベースパスワードも合わせて変更する。
この時点で、⑤のwo-confid.phpと⑦については、ロリポップ側で作業が成されたようなので割愛。
とは言え、ハッキングで侵入されたのは気持ちが悪いので、
領域を変えてWordPressそのもののインストールをやり直したいところだ。
Posted by いーじー at 22:55│Comments(0)
│ブログあれこれ