WordPressのセキュリティについて

先日、知り合いから「WordPressに見知らぬ記事が大量に投稿されていて困っているから見て貰えない?」という相談を受けました。

で、見てみると確かに英文のよく分からない文章が大量に入っていました。

明らかにアカウントを乗っ取られている状況だったので、まずはパスワードを変更させました。

次に、Apacheのアクセスログを確認して怪しいIPアドレスを洗い出して.htaccessでブロック。

取りあえず、これで一時対応は完了です。

次にブログの復旧です。

が、定期的なバックアップも取っていなかったようなので、バックアップデータを使っての復旧は諦めて、
明らかにスパム投稿されたっぽい記事を手動で削除することに。
※数が多かったのでデータベースから直接削除も考えたのですが、データ全体の整合性が取れなくなると恐いのでそれは止めました。

このあとは、本格的な対応を行っていきました。

例えば、
・ログイン時に文字認証を付ける
・パスワードを複雑なものにする
・WordPress本体を最新バージョンにアップデートする(ついでにプラグインも旧バージョンの物は全てバージョンアップ)
・xmlrpc.phpへアクセス制限の設定 ※.htaccessを利用して制限
などの対応を行っています。

xmlrpc.phpを使って不正投稿されるケースもあるので、
xmlrpc.phpを利用していない場合には外部からアクセスできないようにしてしまった方がいいです。

取りあえず、これで緊急対応は終了です。

今後の対応としては、以下の2点を実施するように伝えておきました。

  • WordPress本体とプラグインは最新バージョンに保っておくこと
  • パスワードは複雑なものにして、定期的に変更すること

これだけでもかなり違うので、徹底するようにだけ伝えて終わりです。

 

今回の原因と今後の対応

 

今回の原因は

  • パスワードが簡単すぎたこと
  • 運用開始時から一度も変更していないこと

の2点に尽きると思います。

簡単な文字列のパスワードを長年使っていたようで、どうぞご自由に則って乗っ取って下さい!と言っているようなものです。
むしろ、今まで何もなかったことが奇跡のようにも思います。

 

本格的にやり始めるとWordPressのセキュリティ対応ってやる事がめちゃくちゃあります。
が、知識が無いと対応数するのも大変ですし、外部業者に依頼するそこそこの費用を請求されることもありえます。

 

そこで、最低限以下の対応だけでも行って下さい。

  • パスワードは複雑な文字列にする
  • パスワードを定期的に変更する
  • WordPress本体(できればプラグインも)を常に最新バージョンに保っておく

これだけでも、かなりセキュリティ強度が上がります。

パスワードの文字列について
パスワードに関しては、
・必ず記号を含めること
・数字、アルファベットの大文字・小文字を含めること
・最低12文字以上(出来れば16文字以上)にする
ということを心掛けて下さい。

因みに、以前セキュリティの専門家の方から聞いた話しでは、記号を1つ入れるだけでもパスワードのセキュリティ強度は断然上がるとのことでした。
なので、パスワードに記号を入れることってかなり重要です。

 

最後に

自分が運用しているWordPressに不正アクセスされた場合、自分のみが被害を受けるのであれば問題はありません。

ただ、不正にスパム投稿された記事を踏み台にして第3社に被害が出ることがあります。

その場合、もしブログ運営者がセキュリティ対応を怠っていたとなると、被害者から損害賠償請求されることもありえます。
そう言ったことから自分の身を守るためにもセキュリティ対応はしっかり行っておきましょう。

 

ただ、
・知識が無くて個人では対応がなかなか難しい
・専門家に依頼するだけの金銭的余裕がない
という場合には、最低限以下の点だけでも対応して下さい。

  • パスワードは複雑な文字列にする
  • パスワードを定期的に変更する
  • WordPress本体(できればプラグインも)を常に最新バージョンに保っておく

 

最悪、これをやっておくだけでも被害に遭う確率はかなり下がると思います。
ぜひ一度ご自分のブログのセキュリティ対応についても見直してみてはいかがでしょうか?

 

Twitterでフォローしよう

おすすめの記事