未分類

ハッキングされたかも?!

昨日会社で管理しているホームページ内の満足度チェックが動かなくなりました。正確には、エラー500を出して処理が行われなくなってしまいました。

会社からの至急の連絡があり、調査したところデーターベースにアクセスするパスワードが変更されてました。

私はもちろん、他の社員の方もそんなことはするはずもなく、これは第3者によるものとの見方が強くなりました。

パスワードの変更はレンタルサーバーの管理画面からしか行えないので、不正アクセスがあったとみざるを得ません。

レンタルサーバーのログインパスワードを急いて変更しました。

でも、ハッカー(正確にはクラッカー)にとっては本気でやればパスワードを破るのはいとも簡単なことだということもわかっています。

ホームページはこころとからだの健康増進のためのものなので、そんなホームページをクラッキングしても何の得にもならないと思うのですが、本物のクラッカーではなく、遊び半分のクラッカーもどきが行ったのかもしれません。

2日前には、当社の違うサーバーでファイルの改ざんがありました。幸いにもバックアップがありましたので1時間ほどで復旧できましたけれども、不安は残ります。

レンタルサーバーはロリポップを使用しています。
2013年には同サーバーのワードプレスが狙われ改竄されたこともあって、ロリポップ側では、wp-config.php のパーミッションが 644 だったことの危険性を踏まえて、ユーザーがパーミッションを変更していなくとも、ロリポップ側で安全なパーミッションに変更するなどの対応策を行ってくれてました。

ロリポップは比較的安価な価格で借りられるレンタルサーバーですので、安全対策にも出来ることは限られていると思います。

ユーザーに出来る安全対策は、FTPのアクセスを制限したり、パスワードを推察されにくいものにしたり、WAFを有効にした状態にするなどです。

WAFについて(ウィキペディア)

https://ja.m.wikipedia.org/wiki/Web_Application_Firewall

もう一つの改ざんされたレンタルサーバーもさらに安価なところですので、ますます安全対策にお金をかけられないと思います。

安価な価格でサービスを提供できるのは、同じサーバー内に出来る限り多くのユーザーを入れることによって実現しています。同一サーバー内のユーザーは外部からよりも簡単に他のユーザーのサイトにアクセスすることができると聞いたことがあります。

ロリポップよりも安価なそのサーバーでは、ユーザーができることというとパスワードを推察されにくいものにするくらいしかできません。WAFもFTPアクセス制限もありません。

より高価な安全対策がしっかりしているところに引っ越しも最終手段というか真っ先にやらなければならないことなのですが、ドメイン名をレンタルサーバー側から提供されたものを使っておりますので、おいそれと簡単に引っ越すということもできません。

ロリポップに話を戻して、私も個人で使っているサーバーはロリポップです。

2813年に起きたワードプレスの改ざん事件の時も安価なサーバーなのに、対策をしっかり行ってくれたと思います。ワードプレスのバージョンアップも自動で行われます。常に最新版のワードプレスを維持できています。

個人的に使ってみても、使いやすいと思います。

今後、バックアップをしっかりやって、いつ改ざんされてもいいようにしておかうと思います。

-未分類
-, , , ,