とりあえず、慌ててセキュリティを見なおした。
まず、以前ロリポップのWAF設定について記事を書きましたが、今回の第三者からロリポップへの大量攻撃を受け、内容を追記しましたのでご報告しておきます。
ロリポップを使っていてWordPressで403エラーが出た時の対処法 | Webooker
要は、
「サイト作成中に403エラーが出た時は、ロリポップ管理画面からWAFをOFFにすると上手くいくよ。でも編集が終わったらちゃんとONに戻してね!」
ということです。
前提として、今回のロリポップの一件では、幸いにも私は被害にはあっていません。(クライアントサイトも特に目ぼしい被害はないようでした)
大規模攻撃とはいえ、ロリポップのWordPressが全滅した訳ではないみたいですね。
さて、本題です。
この一件では、ロリポップのセキュリティの甘さ、分かりやすいWordPressの構造、自分のセキュリティ意識の低さなどなど、色々な問題を提起された気がします。
転んでもタダでは起きたくない貧乏人精神で、今回の件で学んだこと、行った対策などをまとめてみました。
ロリポップのセキュリティについて
結論から言うと、今回の大規模攻撃が可能になった原因は、ロリポップがwp-config.phpのパーミッションを緩く設定していたからです。
ロリポップはWAF(Web Application Firewall)を2012年から導入していたり、セキュリティに全く無関心ではないと思っています。セキュリティ対策が売上を左右するホスティングサービスを運営しているのですから、それなりにやってくれていると信じています。とはいえ、今回の件は未然に防げただろうし、その後のロリポップの発表がまずいと指摘する方も。
ロリポは今回の対策は適切である。ただし、発表をWordPressのプラグインやテーマの脆弱性のせいにして発表しているのは嘘。
— isidai (@isidai) August 30, 2013
ロリポップは初動が遅かったものの ((フォーラムやこちらの記事では既に指摘されていたのに、この時点では動きなしでした。))、しばらくしてから定期的に公式リリースを打ち出したのでずっと追っていました。行われている対策などは把握できたのですが、一体何が問題なのかよく分かりませんでした。(肝心な原因の部分ははぐらかされているようだったし、対策も二転三転していたような印象を受けました。)
ここらへんについて詳しい事はこちらのまとめが参考になりました。
GMOグループのクラックわっしょい祭、永江一石氏「クラックされてるよ」→熊谷社長「されてないWPが悪い」→石森大貴氏「侵入経路分かったWP関係ない」 : 市況かぶ全力2階建
その後公式でも原因を明確にしたリリースが出ていました。
本件の改ざんは、WordPressの設定ファイルであるwp-config.phpからデータベース接続に必要な情報を抜き出して情報を書き換えられたもので、それ以外のデータに影響はございません。
当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について / 新着情報 / お知らせ – レンタルサーバーならロリポップ!
WordPress 簡単インストールなどの機能を使ってインストールすると、パーミッションの権限など確認せずにスルーしてしまうかもしれません。
かく言う私も、自分が運営しているサイトのパーミッションを、今回の件があって初めて確認しました。いやはやお恥ずかしい限りです。
その後ロリポップも、ようやく過ちに気づいたようで、公式で謝罪していました。でも2013/08/30 19:13時点でなので、だいぶ遅いですよね…。
[これまでに判明している状況]
2013/08/29 22:40 時点でのご報告において、改ざん手法を「WordPressのプラグインやテーマの脆弱性を利用」として説明を行っておりましたが、その脆弱性を侵入経路として、「当社のパーミッションの設定不備を利用」されたことが原因であることを確認しております。被害拡大の防止を最優先としており、本件の発表が今となりましたこと深くお詫び申し上げます。
当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について / 新着情報 / お知らせ – レンタルサーバーならロリポップ!
何より、GMOの中の人は永江一石さんに謝らないのだろうか(;´Д`)
これ↓。
あなたの指摘で事実確認中ですが、確認が出来ていない情報をこんなに拡散して本当に困ったもんだ。事実でなかったらどう責任を取るつもりなんですか?株価にまで言及してますが責任とれますか?現段階でWPの脆弱性は確認出来てますが弊社へのハッキングなどの事実は確認できません@Isseki3
— 熊谷正寿 (@m_kumagai) August 28, 2013
永江一石さんの迅速な記事によって早々に事態を把握できたし、しかもセキュリティ対策もまとめてあったので、個人的に、すごく助かりました。初動の遅いロリポップよりもよほど役にt(ry
褒められこそすれ、恫喝されるいわれはないと思うんですけどね…。
…少し話が脱線しましたが、自分で出来る範囲のセキュリティ強化を実行しましたのでまとめます。
簡単に出来るセキュリティ強化方法
まず、セキュリティ強化にあたってこちらを参考にしました。
WordPress初心者向け セキュリティ強度をできる限り上げる方法 | More Access! More Fun!
この中にかかれていた事で、以下の事を実践しました。
- パスワードのインジケータが「強」になるように設定する
- ログイン画面にキャプチャ認証を表示する
- wp-config.phpのパーミッションを400に変更する(現在、ロリポップ側で全て対応済みです。)
- ロリポップのWAF設定をONに戻した
1.パスワードのインジケータが「強」になるように設定する
今まで「普通」程度のパスワードを使っていたので、「強」に変更しました。
管理画面の「プロフィールを編集」から簡単に設定出来るので、手っ取り早くやってしまうのをオススメします。
2.ログイン画面にキャプチャ認証を表示する
こちらの「SI CAPTCHAというプラグインを使いました。
WordPress › SI CAPTCHA Anti-Spam « WordPress Plugins
こんな感じ↓で、通常のIDとパスワードの他に画像認証を追加できます。
ログインする度に毎回入力する手間が増えますが、背に腹は変えられません。
ただし、既に入れているプラグインと競合したり、キャプチャを表示するためのファイルが足りないというエラーが出てログインが出来なくなる場合もありますので、パッと入れてすぐ使える感じではなかったです。
※私は後者でした。必要なファイルが無いというエラーが出て、ログインできなくなりました。その必要だと言われたファイルを入れて、無事にログイン出来ました。
Googleの二段階認証を入れる方法もあるようですが、このセキュリティですら突破されたとどこかで見た気がするので、辞めておきました。(うろおぼえですが…。)
【画期的!!】1分でWordPressにGoogle認証システムをいれる簡単な方法 | More Access! More Fun!
3.wp-config.phpのパーミッションを400に変更する
今回の一件で被害が出たのはこちらが原因とのこと。早い段階でTwitterやらブログやらで情報が出ていたので(ロリポップではまだ出ていなかった…)、即変更しました。
現在はロリポップの全てのWordPressで、パーミッションが400に設定されているようです。
4.ロリポップのWAF設定をONに戻した
サイトをカスタマイズする時にWAFをオフにしていたのを思い出して、慌ててONにしました。
デフォルトでONになっているので、特に触った覚えの無い方はご安心ください。
WAFについてはこちら↓。
WAF ウェブアプリケーションファイアウォール – ロリポップ!レンタルサーバー
ロリポップ乗り換えは様子見
今回を契機に乗り換える人も多いと思いますが、以下の理由から乗り換えについては様子を見ています。
- 私がロリポップ☓WordPressで運営しているのは個人的なサイトなので、なくなっても困らない。
- 出来る限りのセキュリティ対策はした。(それでも感染して人に迷惑をかけるようなら削除予定。)
- ロリポップ側でも色々と対応されている。
- 乗り換えにはそれなりの手間暇とコストがかかる。(手弁当でやっているサービスなので、出費は避けたい)
とはいえ、この記事の下の方で引用されているツイートによると、被害にあった人にはまだリスクがあるようなので、今後もチェックし続ける必要がありそうです。
GMO(ロリポップ)その他で今日も激しくサイト乗っ取りが横行している件で(追記あり)(山本 一郎) – 個人 – Yahoo!ニュース
このタイミングでロリポップを導入する人はさすがに少ないかもしれませんが、どこのサーバなら【絶対に】安心なんでしょう。AWS(アマゾン ウェブ サービス)がいいと聞いたけど、そうなんでしょうか。
それとも、ホスティングサービスを使うことで常にリスクがあるのなら、自鯖しかないのかな?(´・ω・`)