結構騒ぎになってるので一応。

• 8438件でデータ改ざんや不正ファイル設置：ロリポップのレンタルサーバでWeb改ざん、WordPress管理画面への不正アクセスで – ＠IT
• 【緊急警報!!】ロリポップとGMOのinterQのWordPressが軒並み乗っ取られてます | More Access! More Fun!

このサイトはロリポップではないですが、WordPress使ってるので一応確認。
今のところ乗っ取られてるような形跡はありませんでした。
でもこれから何かされる恐れもあるので、もしサイトに不審な表示を見つけたら連絡もらえるとありがたいです。

しかし情報集めてみても原因わからなくて怖いな…
ログインフォームへのアタックだって言ってる人もいるし、設定ファイルのパーミッションの問題って言ってる人もいるし、DBの設定の問題って言ってる人もいるし…
とりあえずログイン画面にBASIC認証と設定ファイルのパーミッション確認とDBパスワード変更でOKだろうか。
念のためプラグインのアップデートとかもやっとこう。

(追記)
一応公式発表では原因らしきものが発表されてるんですね。

• 当社サービス「ロリポップ！レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について / 新着情報 / お知らせ – レンタルサーバーならロリポップ！

WordPressのプラグインやテーマの脆弱性を利用し、不正なファイルがアップロードされました。
またそのファイルを利用し、wp-config.phpの設定情報が抜き出されることにより、データベースの書き換えが行われ、WordPressサイトが改ざんされました。

ただ、今回被害者の使っていたテーマやプラグインはバラバラみたいなので、特定のプラグインの脆弱性とかいうわけでもなさそうな…？
ともあれ、wp-config.php見られる→DBパスがバレる→改竄 っていう手口なら、wp-config.phpのパーミション設定＋DBパス変更で当面は安全？
あ、でも自サイトに仕掛けられたスクリプト経由だったらパーミッション400でも見られちゃうのか。やっぱ「不正なファイルがアップロード」の手口がわからないとどうにもならないなー。

(追記2)

• ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策 | 徳丸浩の日記

おーなるほど。シンボリックリンクって閲覧権限無いファイルにも張れるのか…って、よく考えたら存在しないファイルにだって張れるんだからあたりまえか。
SymLinksIfOwnerMatch って初めて知った。確認しとこう…。