ロリポップのレンタルサーバーがハッキングされた件について

skitchVcHxiI


ロリポップのレンタルサーバーがハッキングされ、8000件以上のWordPressを利用しているサイトが改ざんされる被害が発生した。

共有サーバーはこういうのが怖いね。


【緊急警報!!】ロリポップとGMOのinterQのWordPressが軒並み乗っ取られてます | More Access! More Fun!


サーバーの設定ミス


サーバー側のアクセス権の設定がダメだったのが原因みたいね。

共有サーバーなのに他人のファイルを覗けるアクセス権だった。

今は対策が取られてるみたいだけどね。

平たく言えば、借りたマンションがオートロックはあるけど部屋に鍵がついていないという状態だったけど、性善説を信じていたおかげで今まで何もなかったよ!って事。

留守の間に隣人はのぞき放題。

管理会社が慌てて鍵つけてますっていう杜撰さ。

wp-config.phpに書いてあるデータベースのユーザー名とパスワードも見放題。



VPS+WordPressなら大丈夫?


VPSは仮想サーバーなので、OSのインストールから設定できるしろものなので共有サーバーとはちょっと違う。

設計段階からすべて自分で設定できるので他人のVPSアカウントを踏み台に不正アクセスされる心配はほぼない。

きちんと設定さえしていれば、という前提だけど。

VPSはきちんと設定しないとあっという間に乗っ取られるので、知識がなければ共有サーバーよりもあぶない。

常に最新バージョンにしておくとか、Apacheのバージョンを表示しないようにするとか、アクセス権の設定とか細かいチューニングが必要。

逆に言うと、きちんと設定さえ出来れば共有サーバーより安全に運用出来る。

隣の人がセキュリティ設定がクソでもなんとかなるし。



運営会社といっても結構いい加減だね


ただの個人ブログならたいしたことないだろうけど、会社で運用してましたとか、データベースに顧客のカード情報をたんまり乗せてましたとかだとえらいことになっちゃうよね。

lollipop側は最初、WordPressの脆弱性とか言ってたし。

オンライン上に重要なデータを置くなら人任せにしちゃダメだね。

しっかり知識を身につけるか、嫌なら面倒でも家の中にしまっとけって事だと思う。

それかしっかり金をかけて管理してもらうか。

サーバー設定は視覚的にわかりにくい分、どういう位置に置かれているかさっぱりわからないからね。

知らないうちにバンバン情報を抜かれててもおかしくない。

安いサーバー会社にするわwwって決めてデータ吹き飛んだり情報抜かれたらタマランね。

やっぱり自分的にはVPSの方が好みだわ。

他のレンタルなら大丈夫かと言えばそうでもないしね。

運営会社の過失でハッキングされたら防ぎようがない。

最低限yum updateくらいはマメにしときましょうねっていう話でした。


コメントを残す

メールアドレスが公開されることはありません。

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)