ロリポップ!で発生している大規模なWordPressの改ざん事案について
2013年8月30日 at 11:57
ロリポップ!を利用されているconcrete5ユーザーの方へ
1. データベースのパスワードが変わる可能性があります
ロリポップ!からのお知らせによると、WordPressで使用しているデータベースのパスワードが強制的に変更されるそうです。
ロリポップ!レンタルサーバー上にある全てのWordPressで使用しているデータベースのパスワード、および該当するデータベースを使用しているCMSの設定ファイル上のパスワードの書き換えを行います。
http://lolipop.jp/info/news/4149/
対象はWordPressということですが、ロリポプランではMySQLが1つしか使えませんので、ひょっとしたらconcrete5をインストールした後にWordPressを同居させている方もいるかもしれません。その場合、concrete5の設定ファイルは修正されないと予想されますので、もし該当する方がいたらご注意ください。
2. 設定ファイルの権限設定は慎重に
今回、ロリポップ!はWordPressの設定ファイル wp-config.php のパーミッション(権限、属性とも言う)を「400」の設定にすることを推奨しています。concrete5の設定ファイル config/site.php も同様に変更するほうが良いと思われます。
サーバープランに限らず、データベースへのアクセス情報は重要なデータですので、アクセス権は最小に設定するようにしましょう!
Re: ロリポップ!で発生している大規模なWordPressの改ざん事案について
2013年8月30日 at 13:02
config/site.php は、バージョンアップの際にPHPから書き込みが必要なので、本来なら400は厳しすぎですよね…。自動アップグレードができなくなります。FTPで接続している自分と、PHPからの読み書きは可能にしておくのが普通だと思います…。ロリポップが400にしろというのは、ロリポップ側の都合だと思います。いずれにしても、サーバー設定によって異なるので、ホスティング事業者さんの提供するマニュアルに従うのが良いでしょう。
Re: ロリポップ!で発生している大規模なWordPressの改ざん事案について
2013年8月30日 at 13:38
いや、サーバーによって違うんですよ…。グループの権限が必要な場合と不要な場合があります。ちょっと、各プランお試し契約して改めて調べようかなと思ってます
acliss
Re: ロリポップ!で発生している大規模なWordPressの改ざん事案について
他のサーバーでも400に変更したほうがいいのでしょうか?