ロリポップ!レンタルサーバーのWordPressが攻撃された件で思うこと

ロリポップ!レンタルサーバーを使っているWordPressユーザがハッカーに改ざんされるという障害が発生してVPSで動かしているから8割は他人事なんだけど、テーマやプラグインを開発していて2割くらいは関係あるのでWordPressで狙われることがあったら知っておきたいと続報を待っていた。

http://lolipop.jp/info/news/
[2013/08/30 19:13 追記]
「ロリポップ!レンタルサーバー」への攻撃に関し、状況のご報告が予定より遅れ申し訳ございません。
現在も先にご報告させていただいた各対策を順次進めております。

[これまでに判明している状況]
2013/08/29 22:40 時点でのご報告において、改ざん手法を「WordPressのプラグインやテーマの脆弱性を利用」として説明を行っておりましたが、その脆弱性を侵入経路として、「当社のパーミッションの設定不備を利用」されたことが原因であることを確認しております。

被害拡大の防止を最優先としており、本件の発表が今となりましたこと深くお詫び申し上げます。

本件の改ざんは、WordPressの設定ファイルであるwp-config.phpからデータベース接続に必要な情報を抜き出して情報を書き換えられたもので、それ以外のデータに影響はございません。先般お知らせしておりました、データベースのパスワード変更はこちらに関連するものです。重ねてご報告いたします。

しかし、どうやらWordPressの脆弱性は侵入経路であって、その後にいっきにやられたのはレンタルサーバのパーミッションの問題らしい。

続) ロリポップのWordPress大量乗っ取りについての推測と対応によるとGMOグループの偉い人は当事者でこの問題についてまとめていた人に対してかなり厳しいことを言っているようなのだけど、まるでWordPressの脆弱性がすべての問題だったと受け止められるような報道をし、WordPressに対して風評被害を起こした件についてはどのような責任を取られるのだろうか。

何人かの方が指摘しているがパーミッションの問題だとするとロリポップのユーザであれば共有サーバにログインして攻撃ができるためWordPress脆弱性は本質的な問題ではないということになる。全ての事実が分かる前にあたかもWordPressが悪いと受け取れるような初期報道をしたのは問題だった気がする。緊急時に事実が断片的であるなら時には経験則で動くことも重要になる。僕も推測はしていたが4000人ものユーザ全てが脆弱性のあるテーマやプラグインを使っていたとはとても思えなかった。特定のレンタルサーバサービスだけで被害がこれだけ広がったということには他に要因があるということは推測できたはずだ。

「WordPressのプラグインやテーマの脆弱性を利用」というのが事実なら具体的にどのプラグイン、テーマが使われたのか二次被害を防ぐためにも早く公表してほしい。それが悪意をもって作られたのかそうでなくても発生するのかはプラグインやテーマを開発している側からすると知りたいところである。

いずれにせよ今回わかったことは安いレンタルサーバはリスクが伴うということである。これはWordPressだけでなくほかのCMSでも同じである。共用サーバが問題なら専用サーバやVPSをつかうしかないがこれには価格だけでなくスキルが要求されるため簡単ではない。レンタルサーバ側がセキュアにすれば設定や動作環境がすこし複雑になり初心者には導入の障壁になりがちなのでこれまたバランスが難しい。

このブログは以前はXREAのレンタルサーバを使っていたがPHPはセーフモードだったので他のユーザのディレクトリにはアクセスできなかったが、セーフモードの副作用でSuperCacheプラグインの機能がフル活用できなくて苦労していた。セキュリティの設定がゆるいレンタルーサーバは初心者にとっては使いやすいが狙われるべくして狙われたとも言える。