この前、ロリポップがクラッカーから大規模攻撃受けましたね。
自分のサイトもお客さんのサイトも、たくさんのサイトがロリポに置いてあったので、正直冷や汗モンでしたw
自分には幸運にも直接的に影響ありませんでしたが、念のための確認作業やらで時間取られました。
ロリポが行った対策は色々あるのですが、今後WordPressで構築する際にためになりそうな箇所をメモっておきます。
- wp-config.phpのパーミッションを400に
- install.phpのパーミッションを000に
- .htaccessのパーミッションを604に
いやーしかし、CGIのフルパスとデータベースパスワード変更された時にはどうしたもんかと思いましたぜ…
事態は沈静化してきていますが、うーん、セキュリティは気をつけても気をつけても足りないなあ。