8月28日からロリポップにあるWordPress乗っ取りについて話題になっています。
未だ完全解決には至っていない様で情報が飛び交っていますね。
実は私もロリポップのWordPressを使っておりまして、他人事ではありません。幸い私のは乗っ取り被害にはあいませんでした。
ブログとして使っていたわけでは無く、テンプレやカスタム投稿の設定方法などカスタマイズの勉強用に設置していたので、内容も無く、いざとなったら全部消してしまっても打撃はありません。
が、今回の場合は共用サーバーゆえの被害拡大という感じなので、乗っ取られてなかったからいいやー、では済まされません。
一応推測されにくいパスワードにしたり.ftpaccessでIP制限はかけていましたが、wp-config.phpなどのパーミッションはデフォルトのままでした。
騒ぎが大きくなっていた昨日はずっと外出していて、iPhoneしか持っておらず、夜帰宅してから諸々の設定見直しをしました。
ロリポップ側でも対応はしていてくれたのでパーミッション関連はすでに変更されていたのでとりあえず.htaccessの設定をしておきました。
あとはDBのパスワードを変更した方が良さそうなのですが、どうやら変更しても古いパスワードが有効のままみたいですね…。これはどうしたもんか。