Kei's Way@Nepal

読者です 読者をやめる 読者になる 読者になる

僕はネパールを変えることができない。

~ネパール在住青年海外協力隊が贈る、生き方に悩む20代が前に一歩踏み出したくなるブログ~

Wordpressのセキュリティ対策は?サイト閉鎖した僕の失敗談

G.ブログ

f:id:kei-lmnop:20160522164658j:plain

 

ナマステ!

最近、Wordpressで運営していたブログを閉鎖しました。
原因は、不正アクセス。
サイトが勝手に改ざんされ、コツコツ育ててきた愛着のあるサイトを抹消しました。

本当に辛くて辛くて。
「もうこんな思いは二度としたくない」
そう思って、はてなブログに移しました。

でも考えてみれば、当然の結果なのかもしれません。
何せセキュリティ対策を全くしてなかったのですから。

そこで僕がちゃんとすべきだったのに全くしなかったWordpressのセキュリティ対策。
これに加え、今回のサイト閉鎖の一連の流れを公開します。
僕と同じ思いで苦しむ人が出ませんように。

予兆:ブログ読者より「ブログがウィルス感染していて見れない」という報告をいただく

今回の一件は突然起きたように思われがち。
でも実はちゃんとした予兆があったんです

事が起きる数か月前からちょくちょくブログ読者さんからこんな報告を受けていました。

Keiさんのブログみたいんです。
でもサイトがウィルス感染していると表示されて見れないんですけど…

 
でも自分のパソコンのブラウザで見ても全然普通に見れるわけです。
なんでだろうと気になってサーバー側にも調査を依頼しました。
使っていたエックスサーバーからはご丁寧にすぐ連絡をいただきました。

本件についてこちらで調査いたしましたが
特に不正なファイルの設置や、不審なアクセスは確認されず
不正アクセスの痕跡は検出されませんでした。
恐れながら現状ではこれ以上の調査が難しい状態です。

 

でも読者さんの中には一部見れない人がいるわけで。
なんだかスッキリしないものの、知識もないのでそのまま放置してしまいました。


約1ヶ月後、不正アクセスによりWEBアクセス制限(403エラー)

それから約1ヶ月後、悪魔のような連絡がサーバー側から入ります。
夕食を食べて、さあブログを書こうと思って部屋に戻ったら、こんなメールが。

お客様のサーバーアカウントにおいて、
セキュリティ関連機関である「JPCERT」から、
運用中のウェブサイトが改ざんされている旨の
報告が寄せられました。

▼報告のあったURL
-------------------------------------------------------
http ://●●●
http ://●●●
http ://●●●
http ://●●●

※不正なコード等が挿入されている可能性があるため、
 上記URLへ直接アクセスなさいませんよう、ご注意ください。

不審なソースコード情報:
type="text/javascript" src="http ://g00.co/P4YrUf"
等の文字列が埋め込まれています。
------------------------------------------------------


これを受け、当サポートにてセキュリティ調査を行いましたところ、
お客様がご利用のプログラムにセキュリティ上致命的なバグ(脆弱性)が存在し、
当該脆弱性を第三者に悪用されてしまった可能性が非常に高い状況でございました。


そのため、事後のご案内となり大変恐縮でございますが、
緊急措置として下記制限を実施しております。

▼サポートにて実施した制限内容
-------------------------------------------------------
・当該ドメイン名に対する緊急的なWebアクセス制限を実施

 ※上記処理に伴い、Webアクセスを行うと403エラーとなる状況です。
-------------------------------------------------------


スパムメールの大量送信やフィッシングサイトの開設などの
『不正アクセス』によるさらなる被害の発生を防ぐため、
上記対応を実施しましたことを何卒ご了承くださいますようお願いいたします。

 

もう絶句です。 
Wordpressのログイン画面すら開かないのでバックアップも取れず。
マジ泣きしました(笑)

アクセス制限を解除するには「初期化」が必要とのこと。
記事が全部消えると思い、血の気が引きました。

結局僕の勘違いで記事の文章は全部残りました。

初期化が必要なのは、Wordpressの「器」の部分。
プラグイン、テーマ、画像などですね。
記事本文などの「中身」の部分はデータベースにちゃんと保存されていました。

こちらの記事が分かりやすいので知識がない人はご一読を。

www.seohacks.net

 

僕がすべきなのに怠っていたセキュリティ対策は3つ

じゃあ一体全体、僕は何をすべきだったのか。
Wordpressですべきだと言われているセキュリティ対策はこんなにもあります。

・テーマやプラグインは、Wordpress公式のものを利用する
・WordPress本体やテーマ・プラグインは、最新版にしておく
・WordPressのバージョン情報について
・「wp-config.php」を、アクセス不可に設定する
・データベーステーブルのプレフィックスを、デフォルト値から変更する
・「Akismet」プラグインを利用して、スパムコメント対策をする
・ブルートフォースアタック(総当たり攻撃)への4つの対策
・Web独自の攻撃手法(SQLインジェクションやクロスサイトスクリプト等)に対して、対策しておく
・WordPressの管理画面とログイン画面をSSL通信に設定する
・WordPressのセキュリティ関連プラグインについて
・バックアップをとっておく

 

Wordpressのセキュリティ対策でしておくべき10の項目

こんなにいっぱいあるんですね…。 
その中でも、太字のものに注目してください。
これは特に最低限やっておくべきものなのですが、僕が怠っていたものなんです。

1つずつ見ていきましょう。

 

(1)テーマやプラグインは、Wordpress公式以外もバンバン利用していた

まずはこれ。
バンバンどこの誰が使っていたか分からないプラグインをインストールしまくってました。

Wordpressの魅力って、自由なカスタマイズが簡単にできるところ。
「簡単に」っていう部分を可能にしていたのがプラグインです。

プラグインを使いまくるとサイトのスピードが遅くなる。
それは知ってましたけど、公式以外のプラグインは脆弱性に課題があるなんて知らなかった。
だから知らずに面白そうなプラグインを見つけてはインストールしてました。

だって楽しいんだもん…。
でも完全に失敗しました。
プラグインやテーマはWordpress公式のものを使いましょう。

 

(2)WordPress本体やテーマ・プラグインを全く更新しなかった

さらに問題行為がありました。
Wordpress本体、テーマ、プラグインは新しいバージョンがこまめに出てきます。
だからその度に最新版に更新しないといけない。

なんでかっていうと脆弱性に問題があるところをこれでカバーしてくれるから。
だからセキュリティ対策上、とっても大切なことなんです。

なのに僕は全く更新をしてなかったんです。
めんどくさいっていうのもあります。
でも、なんかの記事で読んだんです。「更新したら全部データが消えた!」って。

そんなん読んだら怖くて更新できないじゃないですか…。
だから全くしなかったんです。

プラグインも入れまくっていたのに、更新しない。
そりゃ脆弱性を突かれますね。

Wordpress本体、テーマ、プラグインはこまめに最新版にアップデートしましょう。

 

(3)バックアップをちゃんととっていなかった

最後はこちら。一番大事なこれができていませんでした。
バックアップをちゃんととっていませんでした。

バックアップを全くとっていなかったわけではないんです。
でもちゃんと復旧の流れを把握しないまま適当にやっていたので、全く役立たずに…。

いろんなやり方があるので、このページを見てぜひちゃんとやってください。

viral-community.com

バックアップはちゃんと取りましょう。

「自分は大丈夫だろう」って思ってるあなたへ。僕もそう思ってました

僕が犯してきた失敗を赤裸々に公開しました。
ここまで読んでこんなことを思ってませんか?
「いやでも自分は大丈夫でしょ!」って。

仲間ですね。僕も今回のことが起きる前は完全にそう思っていました(笑)
そうしたらこんなトラブルに遭いました。

昨年、こんな記事を読んでいたんです。

www.ikedahayato.com


宇佐美さんという方もWordpressでブログをされていたんです。
でもウィルス感染してしまい、3年運営していたブログが閉鎖になってしまったようです。

当時この記事を読んで僕が思ったこと。
「おおーこわっ!でも自分は大丈夫でしょ」

マジでボコボコに殴ってやりたい(笑)
それくらい自分とは無関係なことだと思っちゃってました。
でも、現実にはこんなことに。大反省しています。

「ブログを書きたい」ならWordpressをやめるのも全然有ですよ

ということでWordpressをやるならセキュリティ対策は必須です。

でも超めんどくさいじゃないですか。
この記事で紹介した11個のセキュリティ対策。
「こんなにできねえよ」って僕は思いました。

ということではてなブログにブログを移転しました。
超有名ブロガー、イケハヤさんが言っていることがごもっともすぎたんです。

ぼくはブログ記事が書きたいのであって、システムとかデザインを触りたいわけではないのです。

人気ブロガー・宇佐美典也さんが「WordPress」から「livedoor Blog」に移転した悲惨な理由 : まだ東京で消耗してるの?

僕もそう。昔は「自分だけのサイト」を作りたかったんです。
だからWordpressを選びました。
でも今は違う。

今は、ブログの記事を書きたいんです。
外見は最低限あればいいんです。それよりも中身が大事だから。
なんか中身重視の大人な女性みたい(笑)

ということで、ブログの記事を書きたいんならWordpressをやめることも全然有。

Wordpressで書き続けるならセキュリティ対策をしてください!
僕と同じ苦しみを味わう人が出ませんように。