水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > ホスティングサービスで設定ファイルが読まれる話

ホスティングサービスで設定ファイルが読まれる話

2010年4月14日(水曜日)

ホスティングサービスで設定ファイルが読まれる話

公開: 2010年4月17日15時30分頃

WordPressのブログに大量のハッキング被害、不正サイトへ誘導も (www.itmedia.co.jp)」。

セキュリティ企業のSucuri Securityは、ブログでこの事件の原因について、WordPressではデータベースの管理情報がプレーンテキストの状態で保存されるという問題を指摘している。悪意を持つNetwork Solutionsのユーザーが、問題のある設定ファイルを見つけ出すスクリプトを作成してデータベースの管理情報を入手し、ブログのデータベースを改ざんしていたことが分かった。

Network Solutionsでは問題の根本原因を解決したと説明するが、WordPressのユーザーは念のため、管理パスワードの変更を促している。

最初読んだときはWordPressに問題があるという話のように読めて、よく意味が分からなかったのですが……。

良く読むとNetwork Solutions側で問題を解決したとありますから、ホスティングサービス側の問題だったわけですね。同じホスティングサービスを使用している別のユーザーから設定ファイルが読めた、という話のようです。

そういう話であれば、Movable Typeもmt-config.cgiにDBのユーザーとパスワードがそのまんま書いてあるわけですから、全く同じ事が起きます。WordPress特有の問題というわけでも無さそうですね。

関連する話題: Web / セキュリティ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト