もともと特に何かしたいというわけでもなく、なんとなくで環境構築した WordPress サイトでしたが、4年越しに攻撃にあってしまい、DBの中身を改竄されてしまいました。
というわけでRe! Hello world! です……。
これはかつてのマイサイト。
発覚経緯
発覚経緯は2024/4/8 頃に管理画面をみようとするとなぜか install.php にリダイレクトされるという現象が発生。DBがおかしくなったのかな?と思い、phpMyAdmin を開いてみると、README というテーブルだけになっており、中には「あなたのDBの中身バックアップしたよ!返してほしかったらこのアドレスにビットコインを払って(意訳)」というメッセージがありました。
反省点とか振り返りとか
運用する気もなかった、というのもあるけどセキュリティなんて完全に気にしてませんでした。また、こんな何もないようなサイト攻撃されるのか?という甘い認識でした。4年間は無事でしたが…(笑)
また気にしてなかったとはいってもパスワードは大分適当な文字の羅列にはしてあったので総当たりしないと突破することができないものには一応なっていたので、本当に総当たりで攻撃しに来てるんだということがわかりました。
今回被害にあったのはそもそも db を改竄できるような状況にしてしまっていた、というところなので以下で対策とできるかなと思ってます。
- phpmyadmin や LiteSpeed のポートを自分のグローバルIPに制限して利用する、また正直不要なのでポート閉じておく。
あと今回は無事でしたが、WordPressの管理画面も危ないと思うので、こちらについては二段階認証でワンタイムパスワードでも利用するようにしておこうと思います。
セキュリティ的にもっとこうしたほうがいいなどの意見がありましたらゆる募です。