広告 ブログ(WordPress)

改ざん被害で約250記事消滅!WordPressのセキュリティ対策とは。

改ざん被害で約250記事消滅!WordPressのセキュリティ対策とは。

WordPressは、世界中で利用されているCMS(コンテンツ管理システム)です。
簡単にサイト運営でき人気があるのですが、利用者が多い分攻撃者にも狙われやすいです。

恥ずかしながら私も被害に遭い、サイトを初期化する羽目になり約250記事が消えました。
新しくサイトを作り直す上で、セキュリティをいろいろ学びましたが、以下の事実も知りました。

  • 想像以上に被害に遭ったサイトが多い
  • WordPressやプラグインには、日々多くのセキュリティの欠陥が発見されている

実際に被害に遭わないと、他人事だと考えがちですよね。
甘い考えの方は今すぐ自分事だと考え、セキュリティを見直した方が良いと思います。
サーバー会社がいくらセキュリティをアピールしてても、被害に遭ってしまうと自己責任です。
それでは、私の被害に遭った時の経験とセキュリティ対策について説明したいと思います。

改ざん被害で約250記事消滅

改ざん被害で約250記事消滅

初期化までの経緯

被害に遭った時から、サーバーを初期化するまでの経緯を説明しますね。
まず、レンタルサーバー会社より以下のようなメールがありました。

内容を簡単にまとめてます。

「フィッシングサイトが公開されているとの申し立てがあり、国内外で被害が出かねない状況のため、アカウントを一時停止しました。
3ヶ月経過しても連絡が無い場合、データ削除及び契約解除します。」

私自身は、フィッシングサイトを公開した覚えはなく、いきなりのメールの内容に頭の中は「???」です。
おそらく、サイトを勝手に改ざんされたのでしょう。
WordPressやサーバーのコントロールパネルにログインができなくなったので、何もすることができません。
しかたなく、レンタルサーバー会社に返信し対応方法を聞いてみると、以下ような返答がありました。

「フィッシング行為は禁止行為となりサポート対象外です。対応方法はご案内できません。アカウントを再開することで、フィッシング行為が再開される恐れがあるので、初期化を検討してください。バックアップからの復元もフィッシング行為が行われる可能性があるので行わないでください」

被害に遭いフィッシングサイトが公開された場合でも、禁止行為なのでサポート対象外のようですね。
私自身は、被害者でもあり加害者でもある感じです。
技術的に詳しければ何か良い方法があったかもしれませんが、私には初期化しか選択肢がない状況でした。
初期化後、バックアップからの復元は行わないようサーバー会社から念を押されました。
古いサイトには、情報修正が必要な記事がたくさんあったので、ゼロから始めるのもよいのかなと、ポジティブに考えることにします。

改ざんされた原因

直接的な原因は、専門家ではないのでわかりません。
原因の一つとしては、サーバー会社のセキュリティ対策を過信し、自身でのセキュリティ対策がおろそかになっていたことです。
言い訳になりますが、レンタルサーバー会社のサイトを見ると、セキュリティ対策は万全みたいなこと書かれているじゃないですか。
自動バックアップもされているので、何かあってもいつでも復旧できる思っていました。
月PV数が数万程度の弱小の個人ブログなど、狙われないとも思っていました。

WordPressの4つのセキュリティ対策

WordPressの4つのセキュリティ対策

セキュリティ対策について、被害に遭う前と後でどのように変えたのか説明したいと思います。

ログインID/パスワードは複雑に

被害に遭った時のパスワード強度は【普通】だったと思いますが、長く複雑にして【強力】にしました。
簡単にログインIDを知られないように、ニックネームやブログ上の表示名は、ユーザー名と異なるものにしましょう。

パスワードなどの使いまわしもよくないです。

最新のバージョンを使用する

以下のアップデートを行い、セキュリティホールを放置しないことが大切です。

  • WordPress
  • WordPressのテーマ
  • プラグイン
  • PHP

被害に遭う前、WordPressのテーマとプラグインの一部でアップデートを怠っていたと思います。
それと、使用していなかったWordPressのテーマとプラグインをいくつか削除しないままでした。
今後はセキュリティリスクを減らすため、アップデートの徹底と、使わないプラグインやテーマの削除をしっかり行おうと思います。

プラグインなどは、最新版にアップデートすると不具合がでることもあるので注意。
あるプラグインで、サイトの表示が変になったことがありました。

セキュリティプラグインの導入

セキュリティプラグインは必須だと思いますので、まだの方は早めに導入しましょう。
以前の私はセキュリティプラグインを入れていませんでしたが、以下の理由からでした。

  • サーバー会社のセキュリティ対策で充分だと考えていた
  • プラグインを増やしたくない
  • セキュリティプラグインの機能を知らず必要性を感じていなかった。

セキュリティプラグインを導入し、ログインURLの変更や、画像認証などでセキュリティを高めました。

お問い合わせフォームの対策

お問い合わせフォームやコメントフォームは攻撃されやすいです。
お問い合わせフォームは、「Contact Form 7」というプラグインで作成し、スパムの防止のため「reCAPTCHA」を使用していました。
コメントも受付していましたが、スパムが多かったですね。
読者からの質問もいくつかありましたが、読者自身が少し調べればわかるようなものも多かったと思います。
私自身、お問い合わせフォームとコメントフォームの必要性が低いことと、返信に結構時間が掛かっていたので無くそうと考えてます。

【まとめ】日々セキュリティを見直そう

WordPressやプラグインには、日々多くのセキュリティの欠陥が発見されているため、完全なセキュリティ対策はありません。
被害に遭う可能性を限りなく低くするため、日々セキュリティリスクを減らす意識を持つことが大事です。

WordPressのセキュリティをチェックできるツールやサイトがありますので、定期的にチエックを行いましょう。
簡単にチエックできるものとしては以下があります。

  • WordPress:ツール → サイトヘルス
  • グーグルサーチコンソール:セキュリティと手動による対策 → セキュリティの問題

-ブログ(WordPress)