ロリポップ！の改ざん被害、WordPressプラグイン／テーマの脆弱性から侵入→ロリポップ！の設定不備を利用される

　株式会社paperboy&co.（ペパボ）は、同社が提供する個人向けレンタルサーバーサービス「ロリポップ！」において発生したWordPress利用サイトの改ざん被害で、対象となるユーザーの数について、新たに3636件を確認したと発表した。29日午前に発表していた4802件と合わせ、8438件に上る。

　また、被害状況として、WordPressのプラグインやテーマの脆弱性を利用し、不正なファイルがアップロードされ、そのファイルを利用してwp-config.php（WordPressの設定情報が書き込まれたファイル）の設定情報が抜き出されることにより、データベースの書き替えが行われ、WordPressサイトが改ざんされたと説明している。

　ペパボでは、被害拡大の防止を優先して対策を進めているとしており、進ちょく状況について随時、ロリポップ！のお知らせページで報告するとしている。

　28日の時点でペパボでは、WordPressのログインID・パスワードに脆弱な文字列を使用している場合に、管理画面へ不正にログインされる事例を多数確認しているとして、ID・パスワードには特定されにくい文字列を設定すること、wp-login.phpへのアクセス制限を実施することをユーザーに呼び掛けていた。

【追記 19:40】
　ペパボは30日19時過ぎ、お知らせページを更新し、改ざん手法について追加情報を公表した。

　改ざんにはWordPressプラグイン／テーマの脆弱性が利用されたことをすでに発表していたが、その脆弱性を侵入経路とし、さらにロリポップ！のパーミッションの設定不備を利用されたことが原因であることを確認したという。「本件の改ざんは、WordPressの設定ファイルであるwp-config.phpからデータベース接続に必要な情報を抜き出して情報を書き換えられたもので、それ以外のデータに影響はございません」としている。