サイト改ざんを防ぐためにロリポップで変更するべき3つのパスワード

photo credit: Jaako via photopin cc
photo credit: Jaako via photopin cc

ロリポップなどで運用されている WordPress サイトがハッキングにより改ざんされる事例が起きています。個人でできる対策としては、まずパスワードを強固なものに変更することが挙げられます。WordPress 本体に加え、ロリポップ側でも3つのパスワードについて確認が必要です。

目次

  1. 改ざんについての速報記事
  2. ロリポップの対応
  3. WordPress のパスワード変更
  4. ロリポップでのパスワード変更
  5. まとめ

改ざんについての速報記事

ハッキングの規模や概要についてはすでに記事が何本か流れているので、そちらを紹介します。

ハッキングによる具体的な症状としては、サイトが文字化けしたり、タイトルに「Hacked by Krad Xin」と表示されたりするとのことです。

ロリポップの対応

ロリポップは公式サイトで、「WordPress のログイン ID とパスワードに脆弱な文字列を使用している場合に、管理画面へ不正にログインされる事例を多数確認しております。」とした上で、ID とパスワードを強固なものに変更するよう求めています。

このほか、以下のページでもサイト改ざん対策について説明しています。FTP パスワードの変更やファイルパーミッション(アクセス権限)の確認が必要だとのことです。

WordPress のパスワード変更

WordPress のログインパスワードの変更は、管理画面の「ユーザー」→「あなたのプロフィール」から行います。

また、ユーザー名は特定の URL にアクセスすることで誰でも見ることができるので、こちらもプラグインを使って複雑な文字列にした上で外部から見られないように設定することをおすすめします。これについては過去に記事にしているので、以下をご参照ください。

ロリポップでのパスワード変更

ロリポップ側のパスワードは「ユーザー専用ページ」で変更します。

左側のメニューから「アカウント情報」を選ぶと、パスワードの変更画面に移ります。「アカウント情報」の「ログインパスワード」と、「サーバー情報」の「FTP・WebDAVパスワード」の2カ所を変更しましょう。

初期状態だとパスワードの安全度が「短すぎます」と警告されているはずです。直接新しいパスワードを打ち込み、「更新」ボタンを押すとパスワードが変更されます。

もう1つは、phpMyAdmin のログイン用パスワードです。まず、ユーザー専用ページの左側のメニューから「WEBツール」→「データベース」を選びます。

ここで表示される「サーバー」と「ユーザー名」、「パスワード」を使って、「phpMyAdmin を開く」から phpMyAdmin にログインします。

phpMyAdmin のログインページで、先ほどの「サーバー」、「ユーザー名」、「パスワード」を入力します。

phpMyAdmin にログインしたら、「一般設定」の「パスワードを変更する」から phpMyAdmin のログイン用パスワードを変更できます。

2013-08-29 追記: ここで変更しているのは phpMyAdmin というシステムにログインするためのパスワードで、データベース自体のパスワードではありません。

なお、phpMyAdmin のログインパスワードを変更した後も、先ほどのロリポップの画面で「パスワード確認」をクリックすると古いパスワードが表示されます。なので、ここで設定するパスワードはできればパスワード管理アプリを使い、紛失しないように気をつけてください。

まとめ

ロリポップは公式サイトで「ロリポップ!サーバーへのハッキングなどの事実はございません。」としていますが、今後事態がどのように推移していくのかは全く分かりません。少なくとも、個人でできることとしてパスワードは簡単に突破されない強固なものにしておくべきだと思います。もちろん、それぞれのパスワードを同一にしておいてはセキュリティ的にリスクが高まりますので、別々のパスワードを設定してください。

また、パスワードを変更すればそれで十分という問題でもないと思いますので、これ以外にもファイルパーミッションの変更など、ロリポップ公式サイトで取り上げられている対策を取るようにしましょう。

2013-08-29 追記: パーミッション変更の方法について記事を書きました。(追加記事: ロリポップ FTP で WordPress のファイルパーミッションを確認・変更する方法

One thought on “サイト改ざんを防ぐためにロリポップで変更するべき3つのパスワード

  1. Pingback: [凛]ロリポップでブログを使っている私が行った乗っ取り対策5点。 | りんろぐ。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です