paperboy&co.は2013年8月30日、同社への大規模攻撃(関連記事:ロリポップ!レンタルサーバーに大規模攻撃、WordPress利用中のサイト8438件が改ざん)の原因に「当社のパーミッション(アクセス権限)の設定不備」があったと明らかにした。侵入者はその不備を悪用してwp-config.phpからデータベース接続に必要な情報(パスワードなど)を抜き出して情報を書き換えたと考えられるという。

 同社によれば、WordPressのプラグインやテーマの脆弱性を悪用して不正アクセスした侵入者が、同社のパーミッションの設定不備を悪用して他のユーザーのサイトに改ざんを拡大したという。他のユーザーのWordPressの設定ファイルwp-config.phpが閲覧できる状態にあったためと見られる。

 同社では設定の不備を謝罪するとともに、サーバー上にある全てのWordPressで使用しているデータベースのパスワード、および該当するデータベースを使用しているCMSの設定ファイル上のパスワードを新しいものに逐次書き換えている。8月31日午前10時30分現在のパスワード書き換えの進捗率は、約50%となっている。

[発表資料]