2020.06.05

WordPressのセキュリティだけは何も起きていない内に対策しておいた方がいいよって話

おはようございます、webエンジニアのゾノ( @ozonosho )です。

いきなりですが、ここ3日間でウイルス感染してしまったWordPressサイトの復旧相談を5件ほど立て続けに受けています。

サーバー内の不正ファイル設置にはじまり、ひどい場合だと.htaccessやルートディレクトリのindex.phpまで書き換えるようなスクリプトが埋め込まれ、なかなか恐ろしい出来事です。

しかも、ほとんどのケースにおいてサーバー側では「何も対応してくれない」あるいは「不正ファイルを見つけたのでアクセス禁止にするという報告のみ」という対応。

そのため運営者は自分で、

・ウイルスファイルの特定⇒削除
・改ざんされたファイルの特定⇒修正(1つ1つ目視のレベル…)
・WordPressの再インストール
・プラグインの再インストール
・データの復旧

あたりを最低限対応しないといけません。

ちなみにエックスサーバーで不正ファイルが確認された場合、強制アクセス禁止処置をとられ、サーバー上のファイルを一度すべて削除して真っ新にしないとアクセス禁止を解除してもらえません。
(しかも連絡してもすぐには返事がこない)

・・・恐ろしい。

WordPressサイト運営者はセキュリティだけは何も起きていない内に対策しておいた方がいいよ

セキュリティ対策って、自分が実際に被害を受けるまでなかなか意識の上がらないポイントです。

みんな防御にお金や時間を割く余裕があったら、攻撃(コンテンツ追加など)に割きたいですもんね。

だけど、、、実際に自分が被害を受けると本当に死ぬほど後悔します。

たとえ軽度のウイルス被害でも、ウイルスの特定~復旧~セキュリティ対策の導入には費用も期間もかかるし、WordPressのファイル構造やサーバーの知識が無いと自分じゃどうしようもできません。

重度のウイルス被害になっちゃうと、最悪あらゆるファイルの中身が微妙に書き換わるような事態まであるので、1からサイトを制作しなおしたほうが早いぐらいのレベルです。

ちなみに、ファイルを定期バックアップしていても、バックアップファイル自体がウイルスに改ざんされている可能性もあるので、ウイルス被害の場合は基本的にバックアップファイルも使えないです。

そんなわけで、最近の依頼主たちの悲痛な叫びを聞いて『セキュリティだけは何もない内にこそ対策しておくべきだなぁ』としみじみと感じています。

とは言っても被害に合う前ならセキュリティ対策はそんなに大変ではありません。

これだけやっておけば概ね大丈夫です。

最低限おこなうべきセキュリティ対策
  • WAFの導入
  • 海外アクセスのブロック
  • WordPress本体を最新バージョンにする
  • プラグインを最新バージョンにする
  • マイナーなプラグインや最終更新が古いプラグインは利用しない
  • WordPressログインパスワードの定期的な変更(複雑なものにする)
  • FTPパスワードの定期的な変更(複雑なものにする)
  • WordPressの管理者権限は必要最小限しか作らない
  • セキュリティ向上プラグイン(SiteGuardやAll In One WP Securityなど)を導入する

こんな感じです。

僕のところに依頼がきた方の症状を見ると、「プラグインの脆弱性をつかれてウイルスが侵入した」というケースが最も多い印象です。

・・・悪いことは言わないので本当に対策しておいたほうが良いです。

webエンジニアはセキュリティの知識もつけておこう

そんなわけで、今日はサイバーウイルスたちと戦う現場からのリポートでした。

webエンジニアはセキュリティの知識も身につけておくと、クライアントに防御の提案もできるようになります。

万が一クライアントが被害に合った際、迅速に対処できると神のように崇められるので身につけておいて損は無いスキルだと思います笑

以上、それでは本日も素敵な1日をお過ごしください(*´`)

当サイトではWordPressのカスタマイズ依頼を請け負っています。実現したい機能・要望がある方はぜひ下記ページよりご相談ください。

あなたのサイトに理想の機能を実装!WordPressカスタマイズサービス

本サービスはあなたのWordPressサイトに理想の機能を実装するサービスとなります。 どのような機能・要望でも実現可能です! Wo......

→この記事を読む