ねぇねぇ!
ロリポップって乗っ取られたって友達に聞いたんだけどホント?
そうなんだ。乗っ取られたというかハッキングにあったんだけどね。
マジで??
どんな風にハッキングされたの??
なんかハッキングされるサーバーって危なくない??
2013年8月29日に海外からWordPressを中心に改ざんされたんだよ。
サイトタイトルに「Hacked by Krad Xin」の文字が入っていたり、サイトが真っ白だったり、サイトが文字化けしたりしてロリポップを集中して狙ったみたい。
当時はボクが管理しているサイトも狙われて、慌てて修復を行ったこともあったね。
ロリポップユーザーはたくさんいたから、サイトが見られなくなったりして大変だったよ。
そうなんだ・・・。怖いよね。ユーザーがたくさんいたから狙いやすかったのかな。
その後どうなったの?
被害にあったサイトは8000サイト以上だったので、しばらくは混乱したんだけど、ロリポップの対応が良かったのは随時対応状況をお知らせしてくれたことだね。4日程で原因も対応も万全に報告してくれて、セキュリティホールの対応も報告してくれてなんとか騒ぎはおさまった。
ロリポップも大変だっただろうね~
狙われやすいサーバーってコトだよね。また何かあるんじゃないの?
ロリポップ側のセキュリティの甘さを追及されたんだろうね。でも、その後良かったのは二度と狙われないように、また狙われても侵入できないようにロリポ側がセキュリティの強化に努めたんだよ。
まず、WordPressの肝であるファイル群への強化。wp-config.phpのパーミッション変更、WAFと呼ばれるクラッキングツールの設置、それから不正アクセスをWordPressが受けていると思われるサーバーへ管理画面を一時的にシャットダウンなど積極的に強化を図ったんだ。
ユーザーにもセキュリティ強化を推奨したページを作って対応に励んでいるみたいだよ。
参考:ロリポップお客様のサイトの安全のため、サイトへの買い残対策をお願いします。
なるほど~泥棒に入られたからセコムを入れて強化したって感じだね(笑)
確かに人気のあるWordPressとユーザー数が多いロリポップを足すと狙いやすくなっていたのかもしれないね。
WordPressはオープンソースといってPHPのコードがオープンになっているから入られやすいのかもしれないけど、それってユーザーが意識して鍵をきちんと閉めておけば防げることも多いんだよ。例えば、ログインパスワードを複雑なものに変えてブルートフォースアタックに備えるとか、管理画面に入るのには自分のIP以外から入られないようにするとか。
ボクは管理画面に認証コードを入れて2重ロックをかけているよ。
パソコンを買ったらセキュリティソフトを入れるって感じで自分のブログは自分で守るってコトだよね。
そうだね。それにロリポップはWordPressのセキュリティを高めてくれる「SiteGuard」というWAFを推奨している。
これは簡単インストールに標準でついてくる。
SiteGuardを入れることによって、ログインを検知したり(ログインアラート)、一定回数パスワードを間違えると管理画面に一定期間ログインできない(ログインロック)ようにしたり、管理画面のアドレスを変えたりしてくれるんだよ。
今回の事故があってからロリポップはセキュリティを強化して、2015年9月から順次サーバーの入れ替えも行うみたいだよ。
安いレンタルサーバーの中でもダントツにセキュリティ面を気にしているコトがわかるよね。
そう思うと、確かに絶対狙われないサーバーなんてないんだし、どれだけセキュリティ面を気にして運営してくれているかが会社としてのスタンスなのかもしれないね。一回失敗したから二の轍を踏まないと言うことが大事なのかもしれないね。
安いから仕方ないんだ、だから何?というスタンスじゃなくて、個人ユーザーや初心者を大事にしている会社だからこそユーザーにもわかりやすい対応をしてくれる誠実な会社だということだね。
あれから2年以上経っているけれどそのスタンスは変わっていないということだね。
2013/8/29 ロリポップは不正アクセスにより8000件以上のサイトが改ざんされました
第三者によるユーザーサイトの改ざん被害に関するご報告 (ロリポップ!サイトより)
2013/8/31 その後2日間で改ざんされたサイトへの対応が報告されました
改ざんされたWordPressサイトの復旧方法について(ロリポップ!サイトより)
改ざんされたのは手痛い事故でしたが、自社にセキュリティの甘さがあることを認識してしっかり対応してくれたので、個人的には評価は○でした。
