最近、WordPressで構築されたWEBサイトが乗っ取られ、改ざんされたという問い合わせがまた増えてきました。
2年ほど前によくあったのですが、最近同じような乗っ取り事案が急激に増えております。
自サイトが乗っ取られていないかチェックお願いします。
サイトが乗っ取られたと思われる場合に即座に対応すること
サイトをメンテナンス中などにする
まず、一番最初にやらなければいけないことは、乗っ取られてしまった以上は、その乗っ取られたサイトを公開しているのは非常に危険です。
自社のサイトを見に来たお客様のコンピュータをウィルスに感染させることにつながるかもしれません。
なので、速やかにアクセス不能などにしていったん接続しても無害な状態を作るべきです。
復旧についてはその後考えましょう。
ドメイン管理会社やサーバー業者から通知が来ると末期症状です
ドメインを管理してもらっている業者やサーバー業者から連絡が来る時がありますが、これはもう末期症状です。
手の施しようがないくらいに改ざんされているケースがあります。
乗っ取られた可能性があるものは使わない
何とか復元できないかとよく依頼があるのですが、乗っ取られ改ざんされたものをそのまま使うのは非常に危険です。
なので、基本今あるものを復元するのは不可能だと思われたほうがいいです。
ユーザパスワードの変更
何かしらの形でWordPressを復元したらすぐにでもやってほしいのはパスワードの変更です。
パスワードが漏れてハッキングされるパターンが最も多いわけですからすぐにでもパスワードを変更しましょう。
そうしないと、乗っ取られる前に復元したとしてもまたすぐ乗っ取られます。
できればユーザ名も変更したほうがいいかもしれません。
adminユーザは絶対ダメ!
WordPressのユーザで一番多いユーザ名はadminです。
adminという名前だけのことはあって一番権限の多い管理者ユーザで作られることも多く、クラッカーにしてみれば、まずadminユーザでパスワードアタックをかけるのです。
ユーザがそもそも違うだけでアタックを受ける確率は格段に下がります。
バックアップデータからの復元
最も良いのは、乗っ取られる前のデータにしてしまうことです。
WordPressの乗っ取り事案の特徴は、index.phpファイルなどを改ざんしサイトを乗っ取りウィルスを撒いたり、フィッシング詐欺サイトへ変貌させたりすることです。
また、トップページは見た目は変わらないがバックドアを仕掛けられたり、普通の人が見ないようなアドレスにフィッシングサイトを作ったりします。
なので、自分たちの分かる範囲だけ直しても、末端ページが残ってしまっているなどということもよくあります。
ファイル自身の改ざんであって、DBの中身はいじられていないことが多いので過去のバックアップデータからファイルの復元だけを行っただけで元に戻せるケースも多いです。(もちろんそのあとユーザのパスワード変更などは速やかに行ってください。)
WordPressコア・プラグインを最新にアップデートしておく
WordPressの乗っ取り事案のほとんどは脆弱性を付かれたアタックです。
より最新のものにしておくことで事前に防げた可能性があります。
アップデートはこまめに行いましょう。
セキュリティ強化
WordPressは、様々な穴があります。
例えば画像ファイルをブラウザからアップロードできるように、オープンになってしまっているディレクトリがあったり、設定変更が生じるので設定ファイルに書き込み権限が与えられていたりと、普段は必要のない部分に穴が開いています。それらをこまめに詰めていく必要があります。
当社のお客様のWordPressについて
セキュリティ強化とバックアップ
保守をご依頼していただいているお客様のWordPressについては一括監視を行っております。
最新バージョンへのアップデートと必要なセキュリティ強化を行ってあります。(もちろんこれだけで改ざんが防げるわけではありませんが必要なセキュリティ強化は行っております。)
また、定期的なバックアップ取得を自動で行っており、最悪の場合、バックアップから復元を行うことが可能なように設定をしております。
WAF実装で被害拡大を最小限に防ぐように設定しております。
また、各お客様のWEBサイトについては、WAF(ウェブ・アプリケーション・ファイアウォール)を実装しました。
これにより、まず、第一に改ざんされるような挙動があった場合に相手をはじいてしまいます。また、仮に改ざんされた場合に、Webサイト自身を無効化することで無害化し被害の拡大を防ぎます。
