2019年も今日で終わりという大みそかに格闘していたのは、WordPressの改ざん復旧案件でした。
といっても、改ざん自体はすぐに復旧したのですが、サーバーのユーザー設定がおかしいなと思いapacheユーザーで調べてみると・・・
サーバーの設定がおかしかったんですね。
これは、当社が昨日から本日まで実際に直面していた実際の某小規模レンタルサーバーの事例です。
目次
他のユーザー(他の顧客)エリアまで閲覧できる
驚きですが、他のユーザーエリアが閲覧できる設定になっていました。
webサイトのファイルも全部閲覧可能な状況です。
WordPressを利用していれば、wp-config.phpでデータベース接続情報まで閲覧できてしまいます。
他のユーザー(他の顧客)のデータベースまで抜き取れてしまう
DBサーバーはlocalhostです。
もちろん、wp-config.phpのDB接続情報を使えば、ダンプできてしまいます。
予約プラグインや、コンタクトフォームの履歴を管理画面で閲覧できるようなプラグインを入れている場合、個人情報が簡単に抜き取られてしまいます。
サーバー管理者のファイルまで一部閲覧編集できる
驚くべきことに、管理者エリアまで閲覧編集が可能な状況でした。
悪意を持った攻撃者であれば、このサーバーを丸ごと乗っ取り、このサーバーを利用しているすべてのユーザーのwebサイトを改ざん・削除したり、乗っ取ったりできます。
非常に危険な状態と言えます。
こうした状態を見つけたらどうするか
こうした状態を見つけてしまった場合、間違っても実際に情報を抜き取ったりしてはいけません。
速やかにホスティング会社に連絡し、事態の緊急性と重要性を説明すべきです。
この事例の場合、サーバーの管理もなされておらず、PHPのバージョンも5.3.3と古くWordPressのアップデートもできない状態でした。
制作会社がホスティング事業を行い自社でサーバーを管理している場合、こうした管理不足サーバーになりがちです。
また事務機リースの会社が手掛けているサーバーでも、こうした事例が多くなっています。
サーバーの管理はセキュリティの基本です。
設定ミスがあったり管理されていないサーバーはユーザーを危険にさらし、重大な結果をもたらす場合があります。
ホスティングを行う事業者は、その責任を肝に銘じるべきです。
カテゴリ:wordpressの改ざん,セキュリティ
タグ:サーバー,セキュリティ,レンタルサーバー