【実録】WordPressのセキュリティ対策をしなかった結果

WordPressサムネ ブログ
この記事は約10分で読めます。

僕は以前WordPressで運営していたサイトがコンピューターウイルスによって破壊されました。

バックアップを取っていたにも関わらず復帰させることは叶わず全てを一からやり直しました。

僕の当時のセキュリティ対策や何が起こったのか、そしておすすめのセキュリティ対策を紹介します。

この記事はこんな人におすすめ↓

  • WordPressを始めたての人
  • セキュリティ対策をしていない人
  • 他人の不幸話を読みたい人

筆者のプロフィール:テトラ

スポンサーリンク

当時のWordPressのセキュリティ対策

当時、と言ってもほんの数か月前、Jetpackというプラグインのサイト監視システムから一通のメールが届いたことから始まった。

当時はすぐに直るだろうと思っていたがまさかサイトを全て削除することになるなんて。

まずは当時行っていたセキュリティ対策を紹介しておきます。

もし行っていない対策があればすぐに対策することをおすすめします。

WordPressセキュリティ対策:執筆者名の変更

執筆者名が初期設定のままだとWordPressにログインするためのユーザー名のままになっています。

WordPressの管理画面にログインするためにはユーザー名とパスワードが必要ですが、ユーザー名が公開されているサイトはパスワードを片っ端から入力するだけで第三者がログインできてしまいます。

そのための対策として当初はユーザー名を隠すためのプラグインを利用していました。

これは後程紹介します。

WordPressセキュリティ対策:スパムコメント対策

WordPressのサイトでは利用者がコメントをすることができます。

しかし、そのコメントシステムを利用して悪意のある文字列やURLをコメントされることが多々あります。

それらのスパムコメントを手動で削除していくのはとても大変で労力のいる作業であるため、自動でスパムコメントを削除してくれるプラグインを導入していました。

当時導入していたプラグインは「Throws SPAM Away」というもので、簡単に言うと日本語の含まれていない海外からのスパムコメントを全てスルーしてくれるプラグインです。

WordPressセキュリティ対策:バックアップの取得

そしてもちろんバックアップも欠かしていませんでした。

当時は「BackWPup」という有名なバックアップ用のプラグインを利用して毎週欠かさずバックアップを取得していました。

WordPressのサイト閉鎖から復帰まで

それではここからは実際に何が原因でWordPressのサイトがダウンし、データを全て消さなければいけない事態に陥ったかを説明します。

少し長いのでセキュリティ対策だけ教えてくれという方は読み飛ばしてください。

WordPressのサイトが閉鎖した原因

WordPressのサイトがダウンしたセキュリティ上の直接的な原因はあるプラグインでした。

WordPressはとても有名なサイトを作成するためのシステムでユーザーも非常に多いのですが、オープンソースであるため脆弱性が見つかりやすく、悪意のあるハッカーに攻撃されやすいという特徴があります。

そのためユーザーそれぞれがWordPressのセキュリティ対策を行う必要があります。

このセキュリティ上の脆弱性はプラグイン上にも発見される可能性があります。

そのためプラグインを使うときはなるべく公式のものを利用し、常に最新版に保っておく必要があります。

僕はこれを怠りました。

プラグインを最新版にしておかなかったのです。

当時僕が運営していたブログは全くの未経験だったもののGoogleアドセンスはお金をおろせる直前まで成果が出ており、アフィリエイトは1万円以上の収益が発生していました。

これからもっと記事を書いてジャンジャン稼ぐぞーと調子に乗り、PV数や収益ばかりを眺め、プラグインの更新をしていませんでした。

そして突然…

「プラグインの脆弱性が発見され、第三者のアクセス履歴があったためサイトを一時的にダウンさせました。

サーバー内に不審な文字列がないことを確認し、ネットオウルサポート(レンタルサーバー元の会社)に連絡してください。

それまでアクセスを制限します。」

たしかこのような内容だったと思います。

ここから僕の長い戦いが始まりました。

WordPressでバックアップからの復帰を試みる

サイトは開くことができず、管理画面にも入れず、広告も全て停止してしまいました。

しかし焦ることなかれ。

しっかりとバックアップを取ってたのでそのバックアップファイルから復元するだけです。

バックアップするの初めてだなぁ、そんなことを考えながらどうやってバックアップをするのか調べていました。

しかしここで重要な問題が発生しました。

どこまでのデータを残し、どこまでを削除すればいいのか分からないままバックアップファイルだけを残しサーバー内の全てのデータを消してしまいました。

サーバー内のどこにウイルスが仕込まれているのか自分で判断することが出来ず、とりあえず全部消しておけば安心だろうと考えていました。

その後バックアップすれば何も問題は無いと…

しかしその考えも儚く…

FTPソフトを利用してサーバー上にアップロードしようとしたのですがファイルのサイズが大きすぎてアップロードすることができませんでした。

圧縮しようにもうまくいかず結局データの復元は諦めるしかありませんでした。

さらにとで確認したところバックアップ出来ていたのは投稿記事の内容だけ…

WordPressのサイト閉鎖へ

さて、サーバー内部のデータを全て手動で消してしまったのです。

それはもうエラー通知の嵐でした。

WordPressから、Googleコンソール、アナリティクス等々たくさんエラーメッセージが来ました。

しかしもう後の祭り。

さらにリアルが忙しくなったことからこの状態で数か月放置してしまいました。

結局WordPressのアカウントを削除し、再度作成するに至ったのです。

WordPressアカウント削除から復帰まで

さて、みなさんご存知でしょうか。

WordPressでアカウントを削除したら次のアカウントを作成するまで1か月時間を空ければならないことを。

皆さんもアカウントを削除する時は気を付けてください。

さて1か月、長いなーと思いながら待っていました。

そうしたら先日こんなメールをGoogleアドセンス様から頂きました。

アドセンス通知

このまま広告設置しないままだと1か月後にアドセンスのアカウント消すぞ、と愛のこもったメールを今年の3月2日にいただきました。

しかもGoogleアドセンスの利用規約が変わったことで1サイトごとに審査をしなくてはならない、そして今まで使っていたドメインを使用しても再審査が必要と言われました。

これはまずい…

そして1か月以内にサイトを立ち上げ記事を書き、Googleアドセンスに合格しなければいけないのでした。

しかもとある資格の試験と被ってもいたので必死に作業をしました。

そして何とか3月23日、あのメールから3週間、無事Googleアドセンスに合格することができました。

皆さんがこのような経験をされないようWordPressのおすすめのセキュリティ対策を紹介します。

WordPressのおすすめセキュリティ対策

さて、それでは今後僕のような人が出ないようにWordPressのおすすめのセキュリティ対策を紹介していきます。

おすすめセキュリティ対策:サイトのSSL化

サイトのSSL化は必須です。

おそらくほとんどの方がすでにされていると思うのでここでは割愛させていただきます。

詳しく知りたい方はこちらの記事の途中に書いてあります。

おすすめセキュリティ対策:プラグインの自動更新

僕のサイト閉鎖の直接的な原因となったプラグインの更新のし忘れ…

昔はこんな便利な機能はなかった…

当時のWordPressにこの機能があったのなら結果が変わっていたのかもしれません。

自動更新を有効化することでWordPress上でプラグインを常に最新の状態を保つことができます。

先に話した脆弱性を攻撃される可能性を回避することができるのです。

しかし、最新版になんらかの不具合があった場合サイトに被害が及ぶ可能性もあるので定期的なバックアップはするに越したことはありません。

やり方はとっても簡単でプラグインページの右側にある自動更新を有効化をクリックするだけです。

自動更新

これだけで僕のサイトは守れたかもしれなかった…いまさらだけど

おすすめセキュリティ対策:執筆者名の変更

執筆者名の変更も重要です。

これを行うだけで総当たり攻撃のリスクを大幅に減らすことができます。

総当たり攻撃とはそれっぽいユーザー名、パスワードをあたっぱしから入力しログインを試みる攻撃のことを言います。

ユーザーIDが分からないだけで不正アクセスされる可能性はぐんと減ります。

下の画像の場所を変更するだけです。

執筆者名

ユーザー一覧から自分のアカウントの編集をクリック、ユーザー名を見せてはいけないので公開用のニックネームを入力します。

また、「Edit Author Slug」というプラグインも有効でプロフィール画面からAuthor名を変更することができます。

一応こちらの方が確実です。

おすすめセキュリティ対策:スパムコメント対策

次はスパム対策です。これは当時も行っていたセキュリティ対策で設定もプラグイン1つでとっても簡単です。

僕が現在も使っている「Throws SPAM Away」での設定方法を紹介します。

といっても特に何か設定する必要もなく、初期設定で十分機能してくれます。

先に説明した通り、日本語を含まないコメント等に対して対策をしてくれます。

おすすめセキュリティ対策:ファイルのアクセス制限

WordPressには「wp-config.php」というIDやパスワードを含むセキュリティ上重要な情報を保存しているファイルが存在します。

このファイルが第三者に編集されてしまうと内容が書き換えられるだけでなく、サイト自体が動作しなくなってしまうかもしれません。

対策としては「wp-config.php」のファイルを管理者、つまり執筆者のみが読み取り、つまり自由に書き換えたりできず、読み取るだけにするのです。

そうすることで第三者が改ざんすることを防ぐことができます。

やり方は少しめんどくさいのですが、レンタルサーバーの管理画面から「wp-config.php」のファイルの属性値を400に変更します。

ネットオウルであればスターサーバーからFTPアカウントにログインし、歯車マークを選択したら書き込みのチェックを外すだけです。

おすすめセキュリティ対策:バックアップを取得する

最後はやはりバックアップを定期的に取得することでしょう。

僕はこの方のサイトを参考にバックアップの設定をしました。

【2021年最新】BackWPupの使い方・設定方法・データ復元方法まとめ (blog-bootcamp.jp)

おすすめセキュリティ対策:外部のサービスを利用する

外部のサービスで不正ログイン対策に使える本人認証サービスというものがあるようです。

無料で使えるようなので興味のある方は是非。

まとめ:WordPressのセキュリティ対策ちゃんとしようね

ほんとに、ちゃんとセキュリティ対策しようね…

そうしないと今まで積み上げてきたものが一瞬でなくなるから…

もう少しでGoogleアドセンスの収益振り込みできそう、アフィリエイト5桁行ってこれからもっと伸びそう。

そんな時でも突然それはやってきます。

本当は本記事で紹介したセキュリティ対策が全てではなくもっといろいろとあるのです。

その中で自分が使っていておすすめのものをピックアップしました。

もっとセキュリティを強化したいと考えている方は是非検索してみてください。

今回のアドセンス審査に合格した時、以前と同じドメインだったからか恒例のお姉さんが見れなかったことが心残りです。

それでは

コメント

タイトルとURLをコピーしました