ロリポップの乗っ取り(改竄など)が行われた件でGMOの対応が酷いうえに発表も対応もイマイチすぎて笑えない。ロリポップ利用者の人だとポカーンとするレベル。
最初の段階でMySQL(データベース)が一部の物は、普通にアクセスすると閲覧できる物が存在するということは疑われていた。これは普通の設定だと見えない物が平常らしい。
騒動の流れと印象
あなたの指摘で事実確認中ですが、確認が出来ていない情報をこんなに拡散して本当に困ったもんだ。事実でなかったらどう責任を取るつもりなんですか?株価にまで言及してますが責任とれますか?現段階でWPの脆弱性は確認出来てますが弊社へのハッキングなどの事実は確認できません@Isseki3
— 熊谷正寿 (@m_kumagai) August 28, 2013
当初は4000件台の被害の確認数だった。
【緊急警報!!】ロリポップとGMOのinterQのWordPressが軒並み乗っ取られてます
http://www.landerblue.co.jp/blog/?p=8402
対応がこれ http://lolipop.jp/info/news/4148/
IDとパスワードを分かりにくく長いものにしろ
IP制限するようにアナウンスする(ムリポ)
↓
8000件代に被害が増える。
wordpressのPHPパーミッションが悪い!という発表をする。
↓
まだwordpressのプラグイン・Themeなどの脆弱性が付かれたのが悪いといいはっている。
http://kabumatome.doorblog.jp/archives/65761496.html
wordpressの脆弱性は有名なもので、常に警告はバンバンでていたりで、アップデートもしょっちゅうありますが、どちらにしても今回の最初の時点からいままでロリポップの公式ではデータベースが見えちゃいけないものが見えているということには言及されていないんですよね。
その他にもソーシャルでの書き込みを見ていると、wordpressが弱いと意気込んでいる人も多々見かけましたが、端から見ていると、最初に問題提起されたことがどうも公式が見てみぬフリして裏でコソコソやっているような対応があったりする。
GMOが『嘘』を付いているといわれるのもまぁ仕方ないことですが、果たしてどうなるやらです。
- ロリポップ公式の今回の対応
http://lolipop.jp/info/news/4149/
今回のはロリポップという安いプランのレンタルサーバーの被害のようですが、チカッパとかは被害ないんですかね。
ただ思うのはGMOの印象がマイナスだとしか思えない。
ロリポップさんのWP書き換えの事象は権限設定の不備を突いたようです。FollowSymLinksを有効にして、他人のディレクトリにln -sすると、Apache経由で他人のファイル見れます。さくらのレンサバは当初より対策済です。 http://t.co/pZksVxQ9Kl
— 田中邦裕 (@kunihirotanaka) August 30, 2013
title=””>
どう決着がついたとしても、悪い印象しかのこらない乗っ取り事件なのでした。
どうすべきか?
結局どうしたらいいのか?
どういうプラグインとかで自衛したらいいのかなどはこちらの記事がLinkが各種記載されている。
GMO ロリポップ不正アクセス騒動をまとめてみた。(メモ)http://d.hatena.ne.jp/connect24h/20130830
割と面倒でもある。
お勧めのレンタルサーバー
- お勧めは、エックスサーバー株式会社が運営する
- WPX、wpX(ダブリューピーエックス)というサーバー エックスサーバー株式会社がwpに特化したサーバーではある。クラウドタイプ525円 サーバータイプ1000円程度のプランがある。
PV数やサイトの規模、ドメインスウ等でプランは吟味してほしい - 或いはエックスサーバーのプランか、(下位のプラン)
- Sixcore(運営曰くセキュリティーは高いらしい) 企業向けがターゲットっぽい印象
が個人的にはお勧めだ。
レンタルサーバーの比較(WordPress向け)
さくらインターネットも利用者数は多いですが管理画面がいまいちわかりにくい。
将来を見据えた運用。
2017年度時点までにクラウドタイプのサービスは様々出てきたがサービス収量が目立つ。
歴史がある事・サービスの信頼性という点で、
将来的な展望を踏まえるとAWSか、Googleクラウドなどの利用が無難な気がしてならない。
コメント