ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策
既に報道されているように、ロリポップ!レンタルサーバーに対する改ざん攻撃により、被害を受けたユーザー数は8428件にのぼるということです。ここまで影響が大きくなった原因は、報道によると、(1)「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされた、(2)パーミッション設定の不備を悪用されて被害が拡大した、ということのようです。 29日夜の時点では、攻撃者の改ざん手法について「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされて「wp-config.phpの」の設定情報が抜き出されたと説明していたが、30日午後7時過ぎの説明で、この脆弱性が侵入経路となって同社のパーミッション設定の不備を悪用されたことが原因だったことを明らかにした。 「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備
「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備
paperboy&co.のレンタルサーバサービス「ロリポップ!レンタルサーバー」への攻撃でWordPressを利用している一部ユーザーのサイトが改ざんされた問題で、同社は8月30日、原因について同社によるパーミッションの設定に不備があったことを明らかにした。被害を受けたユーザー数は当初の4802件から8428件に修正している。 29日夜の時点では、攻撃者の改ざん手法について「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされて「wp-config.phpの」の設定情報が抜き出されたと説明していたが、30日午後7時過ぎの説明で、この脆弱性が侵入経路となって同社のパーミッション設定の不備を悪用されたことが原因だったことを明らかにした。同社は「被害拡大の防止を最優先としており、本件の発表が今となりましたこと深くお詫び申し上げます」と謝罪している。 攻撃者は
ロリポップでWordPressの改竄が拡がった理由
ロリポップでの大規模なWordPressサイトの改竄について http://lolipop.jp/info/news/4149/ ロリポップからのリリースでは、管理パスワードとログインへのアクセス制限の強化を推奨して、パーミッションの変更と全体のウイルスチェックを行うとしている。WordPressそのもののアップデートはマニュアルに方法が記載されているものの、リリースでは触れられていない。 このことから、被害が大きくなったのは、ロリポップの提供していたWordPressのインストール手順に問題があり、wp-config.phpなどのファイルのパーミッションが不適切だったためではないかと推察出来る。 いくつかのアカウントだけWordPressの管理パスワードが突破される、というのであれば、世界中でほぼいつでも起こっている。 もし、あるユーザーの管理パスワードが脆弱で推測することが出来てしまう
ハッキングされてると教えた親切な人にGMO熊谷社長が「風説の流布」だとぶちギレた結果wwwwww : IT速報
999:名無しのプログラマー 2099/99/99 99:99:99 ID:ItSoKuHou ロリポップなどGMO系のレンタルサーバーで運用されているWordpressのブログが軒並み乗っ取られる事件が起きました。 その件についてTwitterとブログで注意喚起をした@Isseki3氏にGMOの熊谷社長が「風説の流布になるぞ」と噛み付きます。 そして翌日公式から「ロリポップ!レンタルサーバー」で第三者から「大規模攻撃」を受け、WordPressを利用している一部ユーザーのサイトが改ざんされる被害が発生したと発表wwww一部といってもなんと(8,438件)ですww 追記: 8月28日 20時58分 Isseki Nagae @Isseki3 ロリポップとinterQの共有MySQLからクラックされて多数のサイトが乗っ取られている件、GMOの明日の株価はヤバイと思う・・・たぶん顧客の大量流出
「ロリポップ!レンタルサーバー」に大規模攻撃--WordPressサイト4802件が改ざん
paperboy&co.は8月29日、同社の提供するレンタルサーバーサービス「ロリポップ!レンタルサーバー」(ロリポップ)において、第三者からの大規模攻撃により、WordPressを利用する顧客のサイトが改ざんされる被害が発生したことを発表した。 対象となるのは、ロリポップのユーザーサーバーにおいてWordPressをインストールしている顧客4802件で、管理画面からの不正アクセスにより、データが改竄されたり不正ファイルが設置されたりしたという。 これを受け、同社ではセキュリティ強化のため、顧客のサーバー領域に設置されているWordPressにおいて、wp-config.php のパーミッションを「400」に変更。また、全ファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合、パーミッションを「000」に変更して該当ファイルにアクセスできないようにしている。8月29日13時
続) ロリポップのWordPress大量乗っ取りについての推測と対応
昨晩、すでに寝ていましたら、GMO総帥の熊谷氏からツイート来てました。埋もれてて気づかなかったのですが友人が教えてくれました。倉持さん、ありがとう。 株価についてはブログには書いてないのですが、つい口が滑ってツイートしてしまいました。申し訳ございません。m(_ _)m しかしながら、事実でなかったらという意味が分かりません。ブログのタイトルも内容もGMO運用のサーバで大量のWordPressの乗っ取りが発生している」ということで事実を確認してから書いてます。その理由としてWordPressフォーラムに複数の被害者から投稿された内容から推測して、「これだけ一度に大量の乗っ取られるということはDB侵入の可能性がある」とあくまで可能性について触れただけです。これは誰もが同じ推測をしたわけで、WordPressフォーラムでも同様に言及されております。いらだちの気持ちはわかりますが、わたしに怒りをぶ
「ロリポがワードプレスを乗っ取られた!」批判ブログに対しロリポ先生「事実でなかったらどう責任を取るつもりか?株価にまで言及して責任とれるか?」深夜に絶叫ツイート(追記あり) : Birth of Blues
「謝罪の王様」オフィシャルブック 土下座の彼方まで~黒島譲に学ぶ謝罪の極意~ ※追記でオチを付けたので、一度見た方は文尾だけどうぞ。 余計なこというな、馬鹿者!って、殿様かよ。 子供じゃあるまいし、外部からの指摘や批判は敵でなく、口うるさい味方と捉えないと。 で、どうでもいいけど http://www.landerblue.co.jpという人はキャッシュプラグインとか入れんの?アドセンスでメシウマ以前に、重くてググるキャッシュ経由じゃないと読めないんですが。 はてなブックマーク - 【緊急警報!!】ロリポップとGMOのinterQのWordPressが軒並み乗っ取られてます | More Access! More Fun! via kwout 以下、感動で鳥肌モノのツイート。なんでいちいち非公式RTなのかは謎。(貼り順適当) どちらに非があれ、確認せず断言、ロジカルな話を感情で返す、断片的
第三者によるユーザーサイトの改ざん被害に関するご報告 - ロリポップ!レンタルサーバー
[2013/09/09 20:42 追記] 平素はロリポップ!レンタルサーバーをご利用いただき誠にありがとうございます。 先日より対応しておりました第三者によるユーザーサイトの改ざんに関してこれまでの経緯と実施した対策についてご報告いたします。 今回の件におきましては、簡単インストールで配布していたパッケージの不備とサーバー側のディレクトリパーミッションの設定が不適切であったことにより、改ざんの被害が拡大いたしましたことを深くお詫び申し上げます。 ■発生した事象 ロリポップ!のサーバー上にインストールされた WordPress を利用して作成された一部のユーザーサイトにおいて改ざんの被害が発生いたしました。改ざんの被害にあったサイトでは、下記のいずれかの事象が確認されております。 ・ 今回の攻撃によるサイト改ざん内容の特徴 サイトタイトルに「Hacked by Krad Xin」が含まれて
【緊急警報!!】ロリポップとGMOのinterQのWordPressが軒並み乗っ取られてます
さきほどWordPressフォーラム見てましたら、ぞっとするようなトピが立ちました。 サイト改ざん? http://ja.forums.wordpress.org/topic/24503 サイトが急に文字化けになり、困っております;; Hacked by Krad Xinと黒の上部ツールバーにあり、サイトが改ざんされてしまったのでしょうか? ハッカーの声明リストを見ると、日本のサーバで乗っ取った宣言のがずらり これはほんの一部です。おそらく数千、数万の被害が。 ※追記 DN乗っ取りでなければ数百〜千単位で済むかもしれないですが・・ただ攻撃は28日深夜から29日朝にかけても続き、被害は増大しています。 8/29 11時のリリースだと4802件だそうです。 くれぐれもリストにあるところは見に行かないように・・・感染してしまう可能性があります!! でもってドメインを検索して見ると、ほとんどがロリ
WordPressカスタマイズの基礎が全て分かる初心者必読の記事10選
ユーザーに届ける価値を徹底的に追求する マーケティングを提供します © Copyright 2022 バズ部. All rights reserved. Webサイトやブログを構築する際に使えるCMSやWebサービスは数多く存在するが、WordPressは近年、もはやCMSのデファクトスタンダードとしての地位を確立している。(※W3TECHの調査によると、世界のWebサイトの約33.9%がWordPress。CMS市場では60.7%がWordPress。) もちろん、私も、ほとんどのサイトやブログをWordPressで構築しているし、国内でもWordPressの導入例は増え続けている。 従って、WordPressのカスタマイズ方法を知っておくと、何かと有利な場合が多い。そこで、本日は、WordPressをカスタマイズしたい初心者が絶対に読むべき10の記事をご紹介する。 1.WordPres
これが無料!?!?圧倒的にクオリティーが高い、WordPressテーマ33選
前回は誰でも簡単に導入できるWordpressのインストール方法を書いた。前回のエントリーでも書いたのだが、Wordpressのテーマは本当に数多くある。そしてのその大半が無料で利用することができる。 今回は、これが本当に無料?と思ってしまうくらいにクオリティーが高いWordpressのテーマを33選取り上げてみる。なるべく、他で取り上げられていないようなテンプレートを掲載した。 1. INFO/DEMO 2. INFO/DEMO 3. INFO/DEMO 4. INFO/DEMO 5. INFO/DEMO 6. INFO/DEMO 7. INFO/DEMO 8. INFO/DEMO 9. INFO/DEMO 10. INFO/DEMO 11. INFO/DEMO 12. INFO/DEMO 13. INFO/DEMO 14. INFO/DEMO 15. INFO/DEMO 16. INF
わたしはコレで、ロリポップ!をやめました
先週末からトラブルが多発し、そうでなくても忙しいのに今朝からまた、クライアントのサーバ移転をしている私(実際にはTさん)です。ブログ書いてすっきりすることにします。 ロリポップ!ってなにか知らない方の為に簡単に説明しておくと、Studygiftで有名な家入君が立ち上げたサーバホスティングサービスですが、彼はすでにバイアウトされて退職されています。わたしがロリポップ!と手を切ることにしたのは、Studygiftのせいじゃないです(当たり前だが)。先週にてんてこ舞いさせてくれたからです。 わたし、実は個人でもロリポップ!のサーバを数本借りていました。クライアントでも10社くらいにここのを借りてもらっていました。元々サーバのデフレ現象の走りみたいな感じで安いのもありますが、管理画面が初心者にも分かりやすく、あまり詳しく無いクライアントでも操作が楽だったからです。ロリポップはコストを下げるために問
SeesaaからWordPressへの移行を5ステップでまとめました
2012年4月7日、3年間使ってきたSeesaaブログから、WordPressへと移行しました。移行した理由や、移行後に実感したメリット・デメリットについては別途まとめることにし、今回はSeesaaからWordPressへの移行手順をまとめます。これから移行を検討される方が、「そこまで大変ではなさそうだ」と安心してもらえればと思います。 1.WordPress用のレンタルサーバーを選択 WordPressを動かすためには、インストールするためのサーバーを用意しなければなりません。自前でサーバーを運用するのは大変なので(サーバーが停止したときのバックアップ対策など、自分でやろうとするといろいろ大変です)、一般的にはレンタルサーバーを使うことになります。 レンタルサーバーの選び方は、スペックと月額費用を天秤に掛けることになりますが、私はスペックも問題なく、月額500円と安価で利用でき、長く利用
サービス終了のお知らせ - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
sitemap – norirow.chips.jp
コンテンツへスキップ モバイル通信 オプション扱いにはなりますが…。 大概のプロバイダーが…。 毎日WiMAXを使用しているわけですが…。 ワイモバイルと言いますのは…。 WiMAXに関しては…。 LTEに関しては…。 ワイモバイルも通信可能なエリアは拡大の一途を辿っており…。 オプションにはなるのですが…。 現段階で市場にある色々なモバイルルーターの中で…。 いろいろ調べましたが…。 思いの外知らない人が多いようですが…。 WiMAXモバイルルーターに関しましては…。 正直申し上げて…。 キャッシュバックを受け取る前に「契約を解約」なんてことになりますと…。 様々に比較検討してみましたが…。 「ポケットWiFi」と申しますのは…。 モバイルWiFiの月額料金を格別低い金額にしている会社を調査してみると…。 NTTDoCoMo又はY!mobileに規定されている速度制限が行われますと…。
sitemap – norirow.chips.jp
コンテンツへスキップ モバイル通信 オプション扱いにはなりますが…。 大概のプロバイダーが…。 毎日WiMAXを使用しているわけですが…。 ワイモバイルと言いますのは…。 WiMAXに関しては…。 LTEに関しては…。 ワイモバイルも通信可能なエリアは拡大の一途を辿っており…。 オプションにはなるのですが…。 現段階で市場にある色々なモバイルルーターの中で…。 いろいろ調べましたが…。 思いの外知らない人が多いようですが…。 WiMAXモバイルルーターに関しましては…。 正直申し上げて…。 キャッシュバックを受け取る前に「契約を解約」なんてことになりますと…。 様々に比較検討してみましたが…。 「ポケットWiFi」と申しますのは…。 モバイルWiFiの月額料金を格別低い金額にしている会社を調査してみると…。 NTTDoCoMo又はY!mobileに規定されている速度制限が行われますと…。
WordPressのプラグインに悪質なコードが混入
オープンソースのブログ作成ソフト「WordPress」向けの人気プラグインに悪質なコードが仕込まれているのが見つかり、開発チームがWordPress.orgの全ユーザーにパスワードのリセットを促している。 WordPress.orgのブログによると、複数のプラグインに不審な動作が見られたため調べたところ、「AddThis」「WPtouch」「W3 Total Cache」の各プラグインから、巧妙な手口で隠されたバックドアが見つかった。バックドアを仕込んだのは各プラグインの作者ではないと開発チームは見ている。 問題の発覚を受けて、これらプラグインは提供を中止するとともに、アップデートをプッシュ配信する措置を取った。プラグインのリポジトリは一時的に閉鎖し、問題のあるプラグインがほかにないかどうかを調べているという。 どのような経緯でバックドアが混入したのかは現時点では不明だが、予防的措置として
iOS版WordPressが日本語化 手軽な写真投稿機能も追加
オープンソースのブログ作成ソフト「WordPress」の開発チームは5月18日(現地時間)、iOS版のWordPressを2.8にアップデートしたと発表した。iPhoneおよびiPadで利用できる同アプリは、今回のアップデートで日本語に対応した。米AppleのiTunes Storeで公開されている。 安定性の強化、ヘルプとエラーメッセージの改善が行われたほか、以下の2つの新機能が追加された。 Quick Photo WordPressのトップページの下方に新たに追加された「Quick Photo」ボタンをタップするとカメラアプリが起動し、撮影すると撮影した写真が掲載されたブログ編集ページが表示される。このページでタイトルと本文を追加して投稿ボタンをタップすれば、写真付きのブログを公開できる。この機能は現在のところはiPhoneでのみ利用可能。 ブログのページビューや検索ワードを1日、1週
あまり知られていないかもなSEO関連のWordPressプラグイン集:phpspot開発日誌
5 Free Recommended SEO WordPress Plugins あまり知られていないかもなSEO関連のWordPressプラグイン集。 SEO対策用のプラグインは色々とありますが、検索してみたところ日本ではあまり情報がなさそうなプラグインが多かったので全て実際に試した上でご紹介。 SEO Rank Reporter 記事によると、3日毎に特定ワードでの順位をグラフ付で次のように表示してくれるのだそう。 若干検索エンジンに負荷をかけてしまいそうな点が気になりますが、順位が気になる人にとっては便利なのかも。 因みに試してみたところ英語のキーワードとかだと英語圏のものも含めた上でのランキングなのでランク外となるっぽいです。 SEO Content Control サイトの中でSEOに最適化されていないコンテンツを表示してくれるらしい。(descriptionsやカテゴリ、タグの
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GMO(ロリポップ)その他で今日も激しくサイト乗っ取りが横行している件で(追記あり)(山本一郎) - 個人 - Yahoo!ニュース