2013年08月29日

「ロリポがワードプレスを乗っ取られた!」批判ブログに対しロリポ先生「事実でなかったらどう責任を取るつもりか?株価にまで言及して責任とれるか?」深夜に絶叫ツイート(追記あり)

このエントリーをはてなブックマークに追加 mixiチェック


 

「謝罪の王様」オフィシャルブック 土下座の彼方まで~黒島譲に学ぶ謝罪の極意~
「謝罪の王様」オフィシャルブック 土下座の彼方まで~黒島譲に学ぶ謝罪の極意~

※追記でオチを付けたので、一度見た方は文尾だけどうぞ。

余計なこというな、馬鹿者!って、殿様かよ。
子供じゃあるまいし、外部からの指摘や批判は敵でなく、口うるさい味方と捉えないと。

で、どうでもいいけど http://www.landerblue.co.jpという人はキャッシュプラグインとか入れんの?アドセンスでメシウマ以前に、重くてググるキャッシュ経由じゃないと読めないんですが。


以下、感動で鳥肌モノのツイート。なんでいちいち非公式RTなのかは謎。(貼り順適当)
どちらに非があれ、確認せず断言、ロジカルな話を感情で返す、断片的業務指示を全世界へ公開ツイートする謎のパフォーマンスで空洞化するガバナンス、匿名相手にマジギレ、提灯コメントにホルホル。見ているこっちが赤面します。
ソーシャルネットを使ったダメなリスク対応の雛形として新入社員研修で事例公開すべきレベル。
(というか、こういうリテラシーが足らない、スルースキルを会得していない公人にツイッター使わせたらダメ。ツイッター非常識写真のバイト店員と五十歩百歩)






















【重要】WordPressをご利用のお客様へ / 新着情報 / お知らせ - レンタルサーバーならロリポップ!

平素はロリポップ!をご利用いただき誠にありがとうございます。

WordPress のログイン ID とパスワードに脆弱な文字列を使用している場合に、管理画面へ不正にログインされる事例を多数確認しております。
不正利用を防ぐために、下記2つの対策を必ず行ってください。

※ロリポップ!サーバーへのハッキングなどの事実はございません。

【1】IDとパスワードは10桁以上のランダムな英数字などの
   特定されにくい文字列に設定してください

設定済みのパスワードを変更する方法はWordPress 公式マニュアルを
ご参照ください。
また、下記のようなIDとパスワードは不正なログインの対象と
なりやすいため絶対に利用されないようお願い申し上げます。

【不正なログインを受けやすいIDとパスワードの例】
・「admin」や「password」などの簡単な文字列
・辞書に載っている文字列(例:book,tokyoなど)
・他のサイトと同じ、もしくは類似している
・ドメイン名と同じ、もしくは類似している


【2】wp-login.phpへのアクセス制限を実施してください
ロリポップ!のマニュアル『.htaccessによる特定のホスト・IPの許可と制限』を参考に、wp-login.phpへのアクセス制限を実施してください。
wp-login.phpと同じ階層にある.htaccessの先頭に下記の記述を追加することで、お客様がご利用されているIPアドレス以外からのアクセスを制限することができます。
お客様が現在ご利用のIPアドレスをこちらからご確認の上、「Allow from」の後ろに記述してください。

-----ここから-----


Order deny,allow

Deny from all

Allow from 111.222.33.44



-----ここまで-----

※お客様のIPアドレスは時間経過により変動することがございます。
 変動した場合は再度.htaccessを設定する必要がございますので
 ご注意ください。


簡単に言うと「かんたんインストール」ならぬ「かんたん対応」
固定IPで回している奇特な人ならOKでしょうけど、「かんたんインストール」で空爆されているナウでヤングな素人さんは、ロリポの指示で「htaccess」弄ったお陰で、ご自身がログインできなくなったでござる。が多発しそうな予感。

マジメな話、ロリポの「かんたんインストール」でデフォルトIDが「admin」なら「unko」とか「chinko」など外人が分からないユニークな文字列へ変更し、パスワードを長目に設定し(理想は10文字以上の英数混在)、wp-configのパーミッションを「404」などへ変更し、プラグイン使って管理画面パーマリンク変更し、プラグイン使って管理画面への連続アタック防いだらまず改竄されることはないやろ。ロリポの内部から喰い荒らされない限りこれでほぼ万全。
ロリポップは、MySQLサーバにグローバルから接続できる(ものがある)? - ろば電子が詰まっている

それと、ロリポ標準のWAF使い、従来の独自ドメイン(またはデフォルトロリポサブドメイン)をWAF噛ませ閲覧用、管理画面を共有SSLでベーシック認証という提案が着眼されているそうですよ。
ロリポップ上のWordPressをWAFで防御する方法 | HASHコンサルティングオフィシャルブログ

※ロリポップ!サーバーへのハッキングなどの事実はございません。
言葉の定義が曖昧以前に、なんで根拠なき自信に支えられ脊髄反射でこういうこと書くんだろ?
原因解明途中で既に大勝利宣言なのか、リアルな裸の王様はホルホル非公式RTツイートをドヤドヤ貼り続けるし、へんな会社。お前の会社の株価なんか知ったこっちゃねーよ、ばーか。という風の息づかいが聞こえそうな予感。

いずれにせよ、WP向けの大規模アタックは今に始まったことじゃないので、レンサバ屋さんは客任せにせず、何か網羅的な対策考えるべき。

【追記】
その後の「ロリポップ - Google 検索」

ロリ・ップ   Google 検索


衆人環視の元、机をバンバン叩き、消費者相手に「馬鹿者」「株価が株価が」「責任取れ!」と唾棄した挙句、自社の不手際がボロボロ露呈、身を挺しドラマ半沢直樹人事部「小木曽」役を演じたGMOオモシロ社長ですが、怒り心頭の半沢直樹(ロリポップ利用者)より何倍返し喰らうのでしょうか?


客には馬鹿者。身内には仲間達に感謝です。脳の周波数がワタミの社長と一緒のような。

お客様のデータベースパスワードを変更いたしました

※GMO代表のイメージ写真です

wpid-LO1Fwhe


【追追記】
ハッキングされた方のサイト修復手伝いました。(Hacked by Krad Xin案件)
トップページ以外は真っ白け。
以下、簡単な修復手順です。

1)チャーセットをutf-8へ戻す
2)タイトルとディスクリプションを戻す(ハッカーの名前になっている)
3)ウィジェットに「<script>document.documentElement.innerHTML = unescape('');</script>」というヘンなテキストが貼付されているので消す
4)元々あった全てのウィジェットが剥がされているので戻す。以上
(ググるキャッシュで見れば元のデザインが分かるので復旧楽だよ)

※mysqlにも奇妙な記述があるという噂を聞きましたが、とりあえず上の1〜4で直った。

GMOのバカ社長が半沢直樹饅頭(゚д゚)ウマーと腑抜けている同じ時に、こうやって黙々とWP修正しているGMOのお客さんが多数いるという虚無感。

あまちゃんなら「GMO5 feat.熊谷」 でネットデビューし、暦の上ではパーミッション♪でもハートは株価が株価が♪と歌い、太巻からアホンダラボケお前は監理銘柄じゃと罵られるパターン。

【更に追記】
【GMOバカッター社長速報】残念ながら「ロリポップ!サーバーへのハッキングなどの事実はございまねん」はウソでした。一連のお知らせに関する訂正とお詫び(9449)

「謝罪の王様」オフィシャルブック 土下座の彼方まで~黒島譲に学ぶ謝罪の極意~

東京ニュース通信社 2013-09-12
売り上げランキング : 5322
by ヨメレバ
仕事がデキると言われている人が必ずおさえいる謝罪・クレーム対応の鉄則

小川 貴之,浅井 真紀子 クロスメディア・パブリッシング(インプレス) 2008-10-15
売り上げランキング : 314119
by ヨメレバ









コメント
どっちもどっち、じゃないですかね。

確定してない情報で
「ハッキングされた!」「されてない!」
と怒鳴り合ってるわけで。
Posted by んんー at 2013年08月30日 00:53
最近、アフィ様が重くてノートンチェックで堕とされます・・・
Posted by 名無しのアベシンゾーさん at 2013年08月30日 17:13
面白かったw 管理人さんのまとめにも感謝
Posted by 名無しのアベシンゾーさん at 2013年09月03日 21:23
最近になってもまだ、
ロリポ絡みのWPどうにかして!案件がやってきますわ。

昔からロリポって、
初心者向けみたいな売りのくせに、
サポ体制&マニュアルは初心者に優しくないんですよね。
Posted by んんー at 2014年07月03日 22:37
  ※ コメント認証制です。URL記述不可。久保田直己さんの名誉を毀損したり誹謗中傷する書き込みは固くお断りします。
※ 全角換算400文字超を入力するとコメント飛びます。要分割投稿。