Network Solutions vs WordPress

WordPressブログが大量にハッキングされたそうで、
ドメイン登録業者 Network Solutions のホスティングサービスが多かったとか。

セキュリティ企業各社は、オープンソースのブログ作成ソフト「WordPress」を使っていたブログが大量にハッキングされる事件が発生したとそれぞれ伝えた。ブログ閲覧者を悪質なWebサイトへリダイレクトしてしまう。被害に遭ったのはドメイン登録業者Network Solutionsのホスティングサービスを利用していたブログが多いという。リダイレクト先のサイトにはマルウェアが仕掛けられていた。これに感染すると、偽ウイルス対策ソフトなどさらに別のマルウェアに感染する恐れがあるという。

WordPressのブログに大量のハッキング被害、不正サイトへ誘導も – ITmedia エンタープライズ

更に、セキュリティー会社によると

セキュリティ企業のSucuri Securityは、ブログでこの事件の原因について、WordPressではデータベースの管理情報がプレーンテキストの状態で保存されるという問題を指摘している。

とのことですが、ちょっと怖いですよね。。。
とか思っていたらWordPressがコメントを出したようなので紹介。

以下は、2010年4月13日に Matt が書いた WordPress.org 公式ブログの記事、「Secure File Permissions Matter」を訳したものです。

概要: 適切でないサーバー設定を行っていたホスティングサービスの一部のサーバー上で、他のユーザーの設定ファイルを読み取れるようになっていました。一部の「セキュリティ」記者が、これを「WordPress 脆弱性」のストーリーに仕立て上げようと試みました。WordPress は 他のあらゆる Web アプリケーションと同じように、データベース接続情報を平文でテキストファイルに保存します。暗号化証明書は意味がありません。なぜなら、データを解読するためには暗号解除用のキーも同じく Web サーバーが読み取れる場所に保存しなくてはならないからです。今回のケースでおそらくそうだったように、悪意あるユーザーがファイルシステムにアクセスできる場合、キーを取得して暗号化を解読するのは容易なことです。ドアノブに鍵を差したままにするのなら、鍵をかけても意味がありませんよね。正しく設定された Web サーバーでは、ファイルのパーミッションには関係なく他のユーザーのファイルにアクセスできるようなことはありません。

WordPress | 日本語 » 安全なファイルパーミッションの重要性

なるほど。コアサーバは確かsuexec対応しているので安心。とか思いましたが、
デフォルトのパーミッションだとディレクトリとか755のままですが大丈夫でしょうか。。。
書き込みを必要とするディレクトリは707にしてます。
あと念のため、wp-config.phpを404にしてみました。400にしたらエラーに・・・
プログラムに全く詳しくないのでこういうときとても迷ってしまいますね。
とりあえず、アドビ関連のアップデートもしっかりしていこうと思います。

♯Network Solutionsを利用している日本人の方も居ると思うので注意が必要ですね。