WordPressが乗っ取られたので対応とセキュリティ設定を行ったお話！

2020年11月4日 2024年4月7日

今回は、友人がWordPressを乗っ取られたというお話しです。
外部の悪意のある者にスパム記事を大量に投稿されて困っている方は参考にして下さい。

因みに、WordPressのセキュリティ対策については、以下の記事も合わせてチェックして下さい。

WordPressの脆弱性対策を思いつく範囲でまとめてみました！

2023.12.12

WordPressの脆弱性(セキュリティ)策について、思いつくものを全てまとめました。WordPressのセキュリティ強化を行いたい方はチェックしてみましょう。...

また、こういった場合に大切なのがデータ復旧です。
その為にはバックアップ機能を搭載しているレンタルサーバーを利用するのも重要です。

バックアップ機能が充実しているレンタルサーバーをお探しの方は、こちらの記事も合わせてチェックしてみましょう。

自動バックアップ機能・復元が無料のレンタルサーバーおすすめ10選！

2023.2.20

無料のバックアップ機能が充実しているおすすめのレンタルサーバーを10社紹介します。基本的に、"バックアップ機能自体が標準搭載（無料）"で、かつ"データ復旧も無料"というレンタルサ...

当記事を書いている人

こちらの記事は、プログラミング・WEB制作歴15年以上、ブログ歴10年以上のプログラマーが書いています。
プライベートでも仕事でも多くのレンタルサーバーを利用してきた経験から、サーバーに関する豊富な知識をもとに書いています。
>> プロフィール

コンテンツ

1 WordPressが乗っ取られた場合に対応
2 今回の原因と今後の対応
3 セキュリティ強度の強いレンタルサーバーを利用するのもあり
4 最後に

WordPressが乗っ取られた場合に対応

先日、知り合いから「WordPressに見知らぬ記事が大量に投稿されていて困っているから見て貰えない？」という相談を受けました。

で、管理画面に入ってみると、確かに英文のよく分からない文章の記事が大量に入っていました。

明らかにアカウントを乗っ取られている状況だったので、まずはパスワードを変更させました。

次に、Apacheのアクセスログを確認して怪しいIPアドレスを洗い出して.htaccessでブロック。

取りあえず、これで一時対応は完了です。

↓

次にブログの復旧です。

が、定期的なバックアップも取っていなかったので、バックアップデータを使っての復旧は諦めることに・・・
明らかにスパム投稿されたっぽい記事を手動で削除することにしました。
※数が多かったのでデータベースから直接削除も考えたのですが、データ全体の整合性が取れなくなると恐いのでそれは止めました。

↓

このあとは、本格的な対応を行っていきました。

例えば、以下のような対応を取っておきました。

ログイン時に文字認証を付ける
パスワードを複雑なものにする
WordPress本体を最新バージョンにアップデートする（ついでにプラグインも全てバージョンアップ）
xmlrpc.phpへアクセス制限の設定 ※.htaccessを利用して制限

などの対応を行っています。

xmlrpc.phpを使って不正投稿されるケースもあるので、
xmlrpc.phpを利用していない場合には外部からアクセスできないようにしてしまった方がいいです。

取りあえず、これで緊急対応は終了です。

今後の対応としては、以下の2点を実施するように伝えておきました。

WordPress本体とプラグインは最新バージョンに保っておくこと
パスワードは複雑なものにして、定期的に変更すること

これだけでもかなり違うので、徹底するようにだけ伝えて終わりです。

今回の原因と今後の対応

今回の原因は

パスワードが簡単すぎたこと
運用開始時から一度もパスワードを変更していないこと

の2点に尽きました。

簡単な文字列のパスワードを長年使っていたようで、どうぞご自由に乗っ取って下さい！と言っているようなものです。
むしろ、今まで何もなかったことが奇跡のようにも思います。

本格的に運用を始めると、WordPressのセキュリティ対応ってやる事がめちゃくちゃあります。
ですが、知識が無いと対応するのも大変ですし、外部業者に依頼するそこそこの費用を請求されることもあります。

そこで、最低限以下の対応だけでも行って下さい。

パスワードは複雑な文字列にする
パスワードを定期的に変更する
WordPress本体（プラグインも）を常に最新バージョンに保っておく

これだけでも、かなりセキュリティ強度が上がります。
↓

パスワードの文字列について

パスワードに関しては、
・必ず記号を含めること
・数字、アルファベットの大文字・小文字を含めること
・最低12文字以上（出来れば16文字以上）にする
ということを心掛けて下さい。

因みに、以前セキュリティの専門家の方から聞いた話しでは、記号を1つ入れるだけでもパスワードのセキュリティ強度は断然上がるとのことでした。
なので、パスワードに記号を入れることはかなり重要です。

セキュリティ強度の強いレンタルサーバーを利用するのもあり

最近は、WordPress関するセキュリティ対策を行えるレンタルサーバーも増えています。
もちろん、WordPressに限らず、WEBアプリ全体に対する設定や、メールセキュリティなどの機能も用意されています。

セキュリティ対策をしっかりと行えるレンタルサーバーを選ぶことも重要です。

セキュリティ対策を行えるおすすめのレンタルサーバーは、当サイトでもまとめています。
そちらの記事も、ぜひチェックしてみてください。

セキュリティ対応充実のレンタルサーバーを紹介！

2023.4.20

今回は、セキュリティ対応が充実しているレンタルサーバー（共用サーバー）を紹介します。セキュリティは、WEBサイト運営やメール利用をする上ではとても重要です。レンタルサーバーを選...

最後に

自分が運用しているWordPressに不正アクセスされた場合、自分のみが被害を受けるのであれば問題はありません。

ただ、自サイトをスパム投稿に利用されてしまうと、第3社にも被害が出ることがあります。

その場合、もしブログ運営者がセキュリティ対応を怠っていたとなると、被害者から損害賠償請求されることもありえます。
そういったことから自分の身を守るためにもセキュリティ対応はしっかり行っておきましょう。

ただ、
・知識が無くて個人では対応がなかなか難しい
・専門家に依頼するだけの金銭的余裕がない
という場合には、最低限以下の点だけでも対応して下さい。

パスワードは複雑な文字列にする
パスワードを定期的に変更する
WordPress本体（できればプラグインも）を常に最新バージョンに保っておく

最悪、これをやっておくだけでも被害に遭う確率はかなり下がると思います。
ぜひ一度ご自分のブログのセキュリティ対応についても見直してみてはいかがでしょうか？

また、セキュリティ対策が充実したレンタルサーバーを利用することもおすすめです。
興味のある方は、こちらの記事もチェックしてみてください。

セキュリティ対応充実のレンタルサーバーを紹介！

2023.4.20

この記事を書いた人

ダッチ

当サイトは丹波のホームページ屋さんの代表「ダッチ」が運営しています。

プログラミング・WEB制作歴15年以上になります。

ブログ・WordPress・レンタルサーバーに関して分からないことがあればご質問ください！
ご質問・ご相談は無料で受け付けています。
↓
https://dacchi.hp.peraichi.com/

WEB制作に関するお仕事の依頼は、こちらのホームページからお願いします。
↓
丹波のホームページ屋さん

ダダダのブログ