lolipopとinterQ利用者のwordpressがハッキングされました。
乗っ取りです。
【追記】
この記事を書く前は上記ページはアクセスできましたが、書いた後はすでに504で表示できませんでした。
※夕方にはアクセスできるようになっていました。
上記ページの大元の、WordPressの日本のフォーラムです。
こっちのほうが状況がリアルタイムに近いですね。
下記のまとめから自分の欲しい情報にジャンプするのが良さそうです。
https://ja.wordpress.org/support/topic/%e3%83%ad%e3%83%aa%e3%83%9d%e3%83%83%e3%83%97%e3%82%b5%e3%83%bc%e3%83%90%e3%83%bc%e3%81%a7%e3%82%b5%e3%82%a4%e3%83%88%e6%94%b9%e3%81%96%e3%82%93%e3%83%8f%e3%83%83%e3%82%ad%e3%83%b3%e3%82%b0%e8%a2%ab/
・『wp-config.php』のパーミッションを404にする⇒【夕方に追記】ロリポップのアナウンスでは404ではなく400、だそうです。
・レンタルサーバーの簡単インストールでユーザー名を未記入でインストールした人はユーザー名がAdminなので、別名のユーザーを追加してAdminを削除する(スマホから書いてるので、手順は各自お調べ下さい。)
【夕方に対応策追記】
・phpMyAdminからデータベースのパスワードを変更する
※ただし、これをやるとwp-config.php内の
define(‘DB_PASSWORD’, ‘○○‘);
を変更しないとダメです。
それとロリポップ側で管理・保管しているデータベースのパスワードとずれるので、別の問題が発生する可能性大です。
ロリポップのアナウンスでは、
PHPとデータベースも書き換えられてるそうです。
ロリポップは安くて安定してるので使ってる人は相当いると思います。
.htaccess
wp-config.php
ともに644でした。
まだドメイン1つしか確認してませんが・・・
初心者の方にとっては、まったく『???』ですよね。
私も正直phpMyAdminの設定はあまりいじくりたくありません。
冗長化の解消だったかな、それ以外はろくなことないので・・・
WP-DB-Backupだったかな。
夜の時点でロリポップのWordPressで8000以上のサイトがハッキングされています。
・いったん全部削除
・別サーバーでWordPressを再インストールして、数ヶ月前のバックアップから復旧
・差分は手動で追加
をオススメします。
再構築は免れないと思います。
少し厳しい言い方になってしまいますが、ご自身のドメインを守りたければ、仮に『???』だらけでもロリポップに任せずにググって早急にご自身あるいはサーバー管理者が対処することです。
https://ja.wordpress.org/support/topic/%e3%83%ad%e3%83%aa%e3%83%9d%e3%83%83%e3%83%97%e3%82%b5%e3%83%bc%e3%83%90%e3%83%bc%e3%81%a7%e3%82%b5%e3%82%a4%e3%83%88%e6%94%b9%e3%81%96%e3%82%93%e3%83%8f%e3%83%83%e3%82%ad%e3%83%b3%e3%82%b0%e8%a2%ab/
ここを参考に現状確認・対処するのが確実かと思います。
・ハッキングされてたとしても過去にバックアップがとってあり簡単に復旧できる状況であること
乗っ取りです。
https://www.landerblue.co.jp/8402/
【追記】
この記事を書く前は上記ページはアクセスできましたが、書いた後はすでに504で表示できませんでした。
※夕方にはアクセスできるようになっていました。
https://ja.wordpress.org/support/topic/%e3%82%b5%e3%82%a4%e3%83%88%e6%94%b9%e3%81%96%e3%82%93%ef%bc%9f/
上記ページの大元の、WordPressの日本のフォーラムです。
こっちのほうが状況がリアルタイムに近いですね。
【夕方に追記】
下記のまとめから自分の欲しい情報にジャンプするのが良さそうです。
https://ja.wordpress.org/support/topic/%e3%83%ad%e3%83%aa%e3%83%9d%e3%83%83%e3%83%97%e3%82%b5%e3%83%bc%e3%83%90%e3%83%bc%e3%81%a7%e3%82%b5%e3%82%a4%e3%83%88%e6%94%b9%e3%81%96%e3%82%93%e3%83%8f%e3%83%83%e3%82%ad%e3%83%b3%e3%82%b0%e8%a2%ab/
まだ判明したばかりでいろいろ不明な部分が多いですが、対応策は今のところ
・『.htaccess』のパーミッションを604にする⇒【夜に追記】604ではなく404にする、とフォーラムには書いてありました。
・『wp-config.php』のパーミッションを404にする⇒【夕方に追記】ロリポップのアナウンスでは404ではなく400、だそうです。
・レンタルサーバーの簡単インストールでユーザー名を未記入でインストールした人はユーザー名がAdminなので、別名のユーザーを追加してAdminを削除する(スマホから書いてるので、手順は各自お調べ下さい。)
【夕方に対応策追記】
・phpMyAdminからデータベースのパスワードを変更する
※ただし、これをやるとwp-config.php内の
define(‘DB_PASSWORD’, ‘○○‘);
を変更しないとダメです。
それとロリポップ側で管理・保管しているデータベースのパスワードとずれるので、別の問題が発生する可能性大です。
・FTPではなくFTPSで接続する(今さら・・・)
【夕方に追記】
ロリポップのアナウンスでは、
『wp-config.php』のパーミッションをもう1段階厳しい400にロリポップ側で自動変更する。
とのことですが、WordPressのフォーラムやTwitterを見るとアナウンスとは違って400に自動変更されていない方もいるみたいです。
すでにハッキングされている場合は上記の処理をしてもダメみたいです。
PHPとデータベースも書き換えられてるそうです。
私はinterQはたぶん使っていませんがロリポップは使ってます。
ロリポップは安くて安定してるので使ってる人は相当いると思います。
いったん簡単インストールでWordPressをインストールした後に、いくつかのファイルをオリジナルのファイルで上書きしています。
なので
.htaccess
wp-config.php
ともに644でした。
まだドメイン1つしか確認してませんが・・・
これ、面倒くさいね。
初心者の方にとっては、まったく『???』ですよね。
私も正直phpMyAdminの設定はあまりいじくりたくありません。
冗長化の解消だったかな、それ以外はろくなことないので・・・
X-Serverならwp-config.phpへのアクセスは初期設定で国外を弾くのに・・・
まぁ、値段が違うから比較しても仕方ないか。
さっ、空いてるうちに作業しないと、もしかして502になっちゃいますよ!
ちなみに私はWordPressのプラグインで、主なサイトのバックアップを毎週1回メールで送られてくるようにしていますので、万が一WordPressがぶっ壊れても小一時間ですべて復旧できます。
以前phpMyAdminでデータベースを壊してからは大事なサイトには必ず入れています。
WP-DB-Backupだったかな。
【たぶん最後の追記かな】
夜の時点でロリポップのWordPressで8000以上のサイトがハッキングされています。
ハッカーが公開した、ハッキングしたサイトのリストは夜の時点で3つですが、この先さらに増える可能性もあります。
ハッキングされた場合はフォーラムに対処法が書いてあるみたいですが、個人的には
・いったん全部削除
・別サーバーでWordPressを再インストールして、数ヶ月前のバックアップから復旧
・差分は手動で追加
をオススメします。
残念ですが、ハッキングされた場合は優位性はハッカーにあります。
再構築は免れないと思います。
サイトは資産です。
少し厳しい言い方になってしまいますが、ご自身のドメインを守りたければ、仮に『???』だらけでもロリポップに任せずにググって早急にご自身あるいはサーバー管理者が対処することです。
簡単インストールのwp-config.phpのパーミッションがハッカーの突破口だったとしたらロリポップの責任もありますが、最終的には私たちサイト運営者・管理者の責任もある、ということはファーストサーバーの一件と同じです。
万が一の場合は
https://ja.wordpress.org/support/topic/%e3%83%ad%e3%83%aa%e3%83%9d%e3%83%83%e3%83%97%e3%82%b5%e3%83%bc%e3%83%90%e3%83%bc%e3%81%a7%e3%82%b5%e3%82%a4%e3%83%88%e6%94%b9%e3%81%96%e3%82%93%e3%83%8f%e3%83%83%e3%82%ad%e3%83%b3%e3%82%b0%e8%a2%ab/
ここを参考に現状確認・対処するのが確実かと思います。
・あなたのサイトがハッキングされていないこと
・ハッキングされてたとしても過去にバックアップがとってあり簡単に復旧できる状況であること
をお祈り申し上げます。
Android携帯からの投稿