「ロリポがワードプレスを乗っ取られた!」批判ブログに対しロリポ先生「事実でなかったらどう責任を取るつもりか?株価にまで言及して責任とれるか?」深夜に絶叫ツイート(追記あり) 
mixiチェック
「謝罪の王様」オフィシャルブック 土下座の彼方まで~黒島譲に学ぶ謝罪の極意~
※追記でオチを付けたので、一度見た方は文尾だけどうぞ。
余計なこというな、馬鹿者!って、殿様かよ。
子供じゃあるまいし、外部からの指摘や批判は敵でなく、口うるさい味方と捉えないと。
で、どうでもいいけど http://www.landerblue.co.jpという人はキャッシュプラグインとか入れんの?アドセンスでメシウマ以前に、重くてググるキャッシュ経由じゃないと読めないんですが。
以下、感動で鳥肌モノのツイート。なんでいちいち非公式RTなのかは謎。(貼り順適当)
どちらに非があれ、確認せず断言、ロジカルな話を感情で返す、断片的業務指示を全世界へ公開ツイートする謎のパフォーマンスで空洞化するガバナンス、匿名相手にマジギレ、提灯コメントにホルホル。見ているこっちが赤面します。
ソーシャルネットを使ったダメなリスク対応の雛形として新入社員研修で事例公開すべきレベル。
(というか、こういうリテラシーが足らない、スルースキルを会得していない公人にツイッター使わせたらダメ。ツイッター非常識写真のバイト店員と五十歩百歩)
【緊急警報!!】ロリポップとGMOのinterQのWordPressが軒並み乗っ取られてます http://t.co/fy8FmjEbod @Isseki3さんから
— Isseki Nagae (@Isseki3) August 28, 2013
一緒に仕事しているエンジニアによると、「MySQLサーバがクラックされたとみて間違いなさそうな感じです。ロリポップは共有のMySQLサーバなので、そこでWP使ってたサイトをお手当たり次第というのが正解だと思われます。たぶん、攻撃は終わっていてクラックリストサイトへの反映はこれから
— Isseki Nagae (@Isseki3) August 28, 2013
さっきロリポップからクラックされてないというツイートがあったんですが、改ざんはクラックじゃないの? “@sakamotoh: @Isseki3 WordPressパーミッション設定不備を突かれている可能性がhttp://t.co/jNNwoQ4aVl @lolipopjp”
— Isseki Nagae (@Isseki3) August 28, 2013
風説の流布になりますよ。事実を確認してからツィートしてください。そのような事実はありません。RT @isseki3:...
— 熊谷正寿 (@m_kumagai) August 28, 2013
【重要】WordPress のID とパスに脆弱な文字列を使用している場合に管理画面へ不正ログインされる事例を多数確認してます。不正利用を防ぐために対応をお願い致します。弊社サービスへのハッキングの事実はありません。ご安心を。http://t.co/zSBrPIwXNy
— 熊谷正寿 (@m_kumagai) August 28, 2013
あなたの指摘で事実確認中ですが、確認が出来ていない情報をこんなに拡散して本当に困ったもんだ。事実でなかったらどう責任を取るつもりなんですか?株価にまで言及してますが責任とれますか?現段階でWPの脆弱性は確認出来てますが弊社へのハッキングなどの事実は確認できません@Isseki3
— 熊谷正寿 (@m_kumagai) August 28, 2013
しかし、本当に困ったもんだ…。
— 熊谷正寿 (@m_kumagai) August 28, 2013
TO:グループ広報&緊急レベル3関係幹部各位 深夜に大変申し訳ないけど一次報告は確認しましたが、再度確認して報告してください。このままでは寝れません。@Isseki3
— 熊谷正寿 (@m_kumagai) August 28, 2013
よけいな事言うな。馬鹿者。RT @ririo08: @m_kumagai あんまり偉そうなツイートしてると超プロのクラッカーに狙われますよw
— 熊谷正寿 (@m_kumagai) August 28, 2013
お褒めの言葉有り難うございます。是非、株主に。 RT @takasakilive: GMOの熊谷CEOのリスク管理はぜひ学ぶべきだな。万が一トラブルが発生してもそのリカバリーで株価が上がりそうです。トラブルがないことを望んで、タンザニアの出張が終わったら、少し株買おう。GMO
— 熊谷正寿 (@m_kumagai) August 28, 2013
有り難うございます。RT @okyawari: GMOの対応が素晴らしい、WP、GMOには置いてないけど、こういうニュースにも敏感に対応できる体制は素晴らしい。おいらもWPのセキュリティ強化を実施するとしよう。
— 熊谷正寿 (@m_kumagai) August 28, 2013
今も全国のデータセンターで仲間達が確認作業をしております。仲間達に感謝です。RT @masakoito: 事の詳細はよく分かってないけど、WPの件でのGMO熊谷社長の対応がスマートに見える。そういう対応ができるのは、現場の社員の方々の頑張りもあってのことなんだろうな、きっと。
— 熊谷正寿 (@m_kumagai) August 28, 2013
@lolipopjp ですけど、フォーラムに「.htaccessは今朝方、何者かによって改ざんされたようです。元に戻しました。」という投稿が上がっていますよ!
— Isseki Nagae (@Isseki3) August 28, 2013
@m_kumagai 寝てました。確認ができてない情報といいますが書いてるのは大量に改ざんされたという確認した情報ですが? またDB侵入の可能性はWPのフォーラムでも指摘されていることであくまで推測で書いていますが? 続く
— Isseki Nagae (@Isseki3) August 28, 2013
@m_kumagai 最大の問題はWPファーラムにもあるように、ロリポップに連絡して何時間もたっているのに返事がないということ。もうちょっと迅速に対応されるべきではないでしょうか。すばやく対応されていればブログに書くわけもなく。まあ電話窓口もないから緊急連絡もできないが
— Isseki Nagae (@Isseki3) August 28, 2013
DBをクラックされてないとすると、WPフォーラムに以下の記載が・◆.htaccess → 644になってたので604に変更 ◆wp-config.php → 444になってたので404に変更 なお、.htaccessは今朝方、何者かによって改ざんされたようです。元に戻しました。
— Isseki Nagae (@Isseki3) August 28, 2013
共有サーバの常識ではあり得ない設定。644や444のように2番目が「4」になっていると、同じサーバの別のユーザーから閲覧可能な状態でなわけでwp-config.phpからDB情報取得して、DBへのアクセスできます。
— Isseki Nagae (@Isseki3) August 28, 2013
サーバクラックではないとすると、1人のアカウントに侵入し、同じサーバ上のWordPressをすべて乗っ取ったというのが一番考えられるのではないかと。共有サーバでWordPressを使う危険性がまざまざと浮き彫りになったわけです。
— Isseki Nagae (@Isseki3) August 28, 2013
ロリポップのユーザーで昨晩wp-config.phpを404にして、ログイン画面も2段階認証設定して朝起きたら乗っ取られていたひとがいるのだが、どうなってんの??
— Isseki Nagae (@Isseki3) August 28, 2013
ロリポップへの攻撃はまだ続いていて昨晩も多くのサイトが乗っ取られた模様。報告が来ました。
— Isseki Nagae (@Isseki3) August 28, 2013
とにかく原因がはっきりしない。パーミッションあげても乗っ取られるというのはどういうことなんだろう
— Isseki Nagae (@Isseki3) August 28, 2013
【重要】WordPressをご利用のお客様へ / 新着情報 / お知らせ - レンタルサーバーならロリポップ!
平素はロリポップ!をご利用いただき誠にありがとうございます。
WordPress のログイン ID とパスワードに脆弱な文字列を使用している場合に、管理画面へ不正にログインされる事例を多数確認しております。
不正利用を防ぐために、下記2つの対策を必ず行ってください。
※ロリポップ!サーバーへのハッキングなどの事実はございません。
【1】IDとパスワードは10桁以上のランダムな英数字などの
特定されにくい文字列に設定してください
設定済みのパスワードを変更する方法はWordPress 公式マニュアルを
ご参照ください。
また、下記のようなIDとパスワードは不正なログインの対象と
なりやすいため絶対に利用されないようお願い申し上げます。
【不正なログインを受けやすいIDとパスワードの例】
・「admin」や「password」などの簡単な文字列
・辞書に載っている文字列(例:book,tokyoなど)
・他のサイトと同じ、もしくは類似している
・ドメイン名と同じ、もしくは類似している
【2】wp-login.phpへのアクセス制限を実施してください
ロリポップ!のマニュアル『.htaccessによる特定のホスト・IPの許可と制限』を参考に、wp-login.phpへのアクセス制限を実施してください。
wp-login.phpと同じ階層にある.htaccessの先頭に下記の記述を追加することで、お客様がご利用されているIPアドレス以外からのアクセスを制限することができます。
お客様が現在ご利用のIPアドレスをこちらからご確認の上、「Allow from」の後ろに記述してください。
-----ここから-----
Order deny,allow
Deny from all
Allow from 111.222.33.44
-----ここまで-----
※お客様のIPアドレスは時間経過により変動することがございます。
変動した場合は再度.htaccessを設定する必要がございますので
ご注意ください。
簡単に言うと「かんたんインストール」ならぬ「かんたん対応」
固定IPで回している奇特な人ならOKでしょうけど、「かんたんインストール」で空爆されているナウでヤングな素人さんは、ロリポの指示で「htaccess」弄ったお陰で、ご自身がログインできなくなったでござる。が多発しそうな予感。
マジメな話、ロリポの「かんたんインストール」でデフォルトIDが「admin」なら「unko」とか「chinko」など外人が分からないユニークな文字列へ変更し、パスワードを長目に設定し(理想は10文字以上の英数混在)、wp-configのパーミッションを「404」などへ変更し、プラグイン使って管理画面パーマリンク変更し、プラグイン使って管理画面への連続アタック防いだらまず改竄されることはないやろ。ロリポの内部から喰い荒らされない限りこれでほぼ万全。
ロリポップは、MySQLサーバにグローバルから接続できる(ものがある)? - ろば電子が詰まっている
それと、ロリポ標準のWAF使い、従来の独自ドメイン(またはデフォルトロリポサブドメイン)をWAF噛ませ閲覧用、管理画面を共有SSLでベーシック認証という提案が着眼されているそうですよ。
ロリポップ上のWordPressをWAFで防御する方法 | HASHコンサルティングオフィシャルブログ
>※ロリポップ!サーバーへのハッキングなどの事実はございません。
言葉の定義が曖昧以前に、なんで根拠なき自信に支えられ脊髄反射でこういうこと書くんだろ?
原因解明途中で既に大勝利宣言なのか、リアルな裸の王様はホルホル非公式RTツイートをドヤドヤ貼り続けるし、へんな会社。お前の会社の株価なんか知ったこっちゃねーよ、ばーか。という風の息づかいが聞こえそうな予感。
いずれにせよ、WP向けの大規模アタックは今に始まったことじゃないので、レンサバ屋さんは客任せにせず、何か網羅的な対策考えるべき。
【追記】
その後の「ロリポップ - Google 検索」
衆人環視の元、机をバンバン叩き、消費者相手に「馬鹿者」「株価が株価が」「責任取れ!」と唾棄した挙句、自社の不手際がボロボロ露呈、身を挺しドラマ半沢直樹人事部「小木曽」役を演じたGMOオモシロ社長ですが、怒り心頭の半沢直樹(ロリポップ利用者)より何倍返し喰らうのでしょうか?
噂の『倍返し饅頭』をもろたw嬉しい!お返しは4倍にしないとw http://t.co/rE58Pq2RcT
— 熊谷正寿 (@m_kumagai) August 27, 2013
客には馬鹿者。身内には仲間達に感謝です。脳の周波数がワタミの社長と一緒のような。
※GMO代表のイメージ写真です
【追追記】
ハッキングされた方のサイト修復手伝いました。(Hacked by Krad Xin案件)
トップページ以外は真っ白け。
以下、簡単な修復手順です。
1)チャーセットをutf-8へ戻す
2)タイトルとディスクリプションを戻す(ハッカーの名前になっている)
3)ウィジェットに「<script>document.documentElement.innerHTML = unescape('');</script>」というヘンなテキストが貼付されているので消す
4)元々あった全てのウィジェットが剥がされているので戻す。以上
(ググるキャッシュで見れば元のデザインが分かるので復旧楽だよ)
※mysqlにも奇妙な記述があるという噂を聞きましたが、とりあえず上の1〜4で直った。
GMOのバカ社長が半沢直樹饅頭(゚д゚)ウマーと腑抜けている同じ時に、こうやって黙々とWP修正しているGMOのお客さんが多数いるという虚無感。
あまちゃんなら「GMO5 feat.熊谷」 でネットデビューし、暦の上ではパーミッション♪でもハートは株価が株価が♪と歌い、太巻からアホンダラボケお前は監理銘柄じゃと罵られるパターン。
【更に追記】
【GMOバカッター社長速報】残念ながら「ロリポップ!サーバーへのハッキングなどの事実はございまねん」はウソでした。一連のお知らせに関する訂正とお詫び(9449)
 | 「謝罪の王様」オフィシャルブック 土下座の彼方まで~黒島譲に学ぶ謝罪の極意~ 東京ニュース通信社 2013-09-12 売り上げランキング : 5322
|
 | 仕事がデキると言われている人が必ずおさえいる謝罪・クレーム対応の鉄則 小川 貴之,浅井 真紀子 クロスメディア・パブリッシング(インプレス) 2008-10-15 売り上げランキング : 314119
|
確定してない情報で
「ハッキングされた!」「されてない!」
と怒鳴り合ってるわけで。
ロリポ絡みのWPどうにかして!案件がやってきますわ。
昔からロリポって、
初心者向けみたいな売りのくせに、
サポ体制&マニュアルは初心者に優しくないんですよね。
