今回は、友人がWordPressを乗っ取られたというお話しです。
悪意のあるユーザーにスパム記事を大量に投稿されて困っている方は、ぜひ参考にして下さい。
因みに、WordPressのセキュリティ対策については、以下の記事も合わせてチェックして下さい。
また、こういった場合に大切なのがデータ復旧です。
その為にはバックアップ機能を搭載しているレンタルサーバーを利用するのも重要です。
バックアップ機能が充実しているレンタルサーバーをお探しの方は、こちらの記事も合わせてチェックしてみましょう。
こちらの記事は、プログラミング・Web制作歴15年以上、ブログ歴10年以上のプログラマーが書いています。
プライベートでも仕事でも多くのレンタルサーバーを利用してきた経験から、サーバーに関する豊富な知識をもとに書いています。
>> プロフィール
WordPressが乗っ取られた場合の対応
先日、知り合いから「WordPressに覚えのない記事が大量に投稿されていて困っているから見て貰えない?」という相談を受けました。
で、管理画面に入ってみると、確かに英文のよく分からない文章の記事が大量に入っていました。
明らかにアカウントを乗っ取られている状況だったので、まずはパスワードを変更させました。
次に、Apacheのアクセスログを確認して怪しいIPアドレスを洗い出して.htaccessでブロック。
取りあえず、これで一時対応は完了です。
↓
次にブログの復旧です。
が、定期的なバックアップも取っていなかったので、バックアップデータを使っての復旧は諦めることに・・・
明らかにスパム投稿されたっぽい記事を手動で削除することにしました。
※数が多かったのでデータベースから直接削除も考えたのですが、データ全体の整合性が取れなくなると恐いのでそれは止めました。
↓
このあとは、本格的な対応を行っていきました。
例えば、以下のような対応を取っておきました。
- ログイン時に文字認証を付ける
- パスワードを複雑なものにする
- WordPress本体を最新バージョンにアップデートする(ついでにプラグインも全てバージョンアップ)
- xmlrpc.phpへアクセス制限の設定 ※.htaccessを利用して制限
xmlrpc.phpを利用していない場合には、外部からアクセスできないようにしてしまった方がいいです。
取りあえず、これで緊急対応は終了です。
- WordPress本体とプラグインは最新バージョンに保っておくこと
- パスワードは複雑なものにして、定期的に変更すること
これだけでもかなり違うので、徹底するようにだけ伝えて終わりです。
今回の原因と今後の対応
今回の原因は
- パスワードが簡単すぎたこと
- 運用開始時から一度もパスワードを変更していないこと
の2点に尽きました。
簡単な文字列のパスワードを長年使っていたようで、どうぞご自由に乗っ取って下さい!と言っているようなものです。
むしろ、今まで何もなかったことが奇跡のようにも思います。
本格的に運用を始めると、WordPressのセキュリティ対応ってやる事がめちゃくちゃあります。
ですが、知識が無いと対応するのも大変ですし、外部業者に依頼するそこそこの費用を請求されることもあります。
- パスワードは複雑な文字列にする
- パスワードを定期的に変更する
- WordPress本体(プラグインも)を常に最新バージョンに保っておく
これだけでも、かなりセキュリティ強度が上がります。
↓
・必ず記号を含めること
・数字、アルファベットの大文字・小文字を含めること
・最低12文字以上(出来れば16文字以上)にする
ということを心掛けて下さい。
因みに、以前セキュリティの専門家の方から聞いた話しでは、記号を1つ入れるだけでもパスワードのセキュリティ強度は断然上がるとのことでした。
なので、パスワードに記号を入れることはかなり重要です。
セキュリティ強度の強いレンタルサーバーを利用するのもあり
最近は、WordPressに関するセキュリティ対策を行えるレンタルサーバーも増えています。
もちろん、WordPressに限らず、WEBアプリケーション全体に対する設定や、メールセキュリティなどの機能も用意されています。
セキュリティ対策をしっかりと行えるレンタルサーバーを選ぶことも重要です。
セキュリティ対策を行えるおすすめのレンタルサーバーは、当サイトでもまとめています。
そちらの記事も、ぜひチェックしてみてください。
最後に
自分が運用しているWordPressに不正アクセスされた場合、自分のみが被害を受けるのであればまだいいです。
ですが、自サイトをスパム投稿に利用されてしまうと、第3者にも被害が出ることがあります。
その場合、もしブログ運営者がセキュリティ対応を怠っていたとなると、被害者から損害賠償請求されることもありえます。
そういったことから自分の身を守るためにも、セキュリティ対応はしっかり行っておきましょう。
ただ、
・知識が無くて個人では対応がなかなか難しい
・専門家に依頼するだけの金銭的余裕がない
という場合には、最低限以下の点だけでも対応して下さい。
- パスワードは複雑な文字列にする
- パスワードを定期的に変更する
- WordPress本体(できればプラグインも)を常に最新バージョンに保っておく
最悪、これをやっておくだけでも被害に遭う確率はかなり下がると思います。
ぜひ一度ご自分のブログのセキュリティ対応についても見直してみてはいかがでしょうか?
また、セキュリティ対策が充実したレンタルサーバーを利用することもおすすめです。
興味のある方は、こちらの記事もチェックしてみてください。
