WordPressをハッキングされるとどうなりますか？

2024/06/26　 web入門, web知識あれこれ｜　

弊社の関係者さんからの情報で、（一昨日のことです）致命的なハッキングにあってしまったWordPressサイトがありました。

ハッキングにあったWordPress

・バージョンが6.5.4
・二段階認証を入れていない
・パスワードが簡単なものだった

ハッキングされたサイトの症状

管理画面にログインできなくなった
index.phpという非常に重要なファイルの上に長大なウィルス（？）コードが埋め込まれていた

という症状が確認できているそうです。

修復方法

もしこういうことがあると、どうやって修復するかをお知らせします。

まず調査、どこまで被害があったのか？
いったんサーバーの中を全削除で更地にします。
新しいWordPress本体をインストールします。
サーバー会社に保存されている自動Backupからデータベースをもらってきます（有料）
制作会社がローカルに保存してあるデザインテンプレート等のファイルをアップロードして見た目の復旧をさせたあとに
プラグイン等の諸々設定をやりなおし
データベースをインポートすると、ハッキング前の状態に復旧できます。

これ一式で復旧に20～30万円くらいの費用がかかります。
全部更地にする必要はないかもしれませんが、どこまで汚染されているかを調査するのはとても困難で、何倍も時間がかかりますので、いったん更地にして、そこにきれいな建物を新築したほうが現実的なのです。

ただ、制作会社がローカルに保存していたテンプレートのデザインデータ、これがないとデザインの復元はかなり大変になりますし、サーバーの方でデータベースの自動Backupをとってない場合、もしくはプラグイン等で自動バックアップをとってない場合は、
最後にBackupをとった日まで、タイムマシンのようにサイトがその時点に戻ってしまいます。

たとえば１年前にBackupしてあった場合、１年前から昨日までの更新したことはすべてなくなってしまいます。
恐ろしいですね。。。。

ブログ投稿したものはもちろん、固定ページの方で更新したことや諸々、全部なかったことに・・・・

しかもしかも・・・です。すぐにハッキングされたことに気がつけば良いのですが、気が付かずに１ヶ月くらい放置されていてあとから気がついた場合は、データベースで保存してある自動Backupも汚染されているわけなので使えないということになります。

エックスサーバーがおすすめです

webの森ではエックスサーバーを使っています。
エックスサーバーの良いところは管理画面が使いやすいとか、変な広告メールが来ないとか、いっぱいありますが、「データベースを７日間、自動バックアップしてくれる」ことも大きなメリットです。基本使用料の中にこれが入っていますので
７日以内に異変に気がつけば、最悪、７日前の状態には戻すことができる、という意味になります。

他にもエックスサーバーは良いところがいっぱいあり、私の仲間のウェブ屋さん皆さん異口同音にエックスサーバーが良いと言っていますので、業界内での評判もたしかです。

他のサーバーに設置したWordPressで、負荷のかかる作業をしていたら、サーバーが一時的にダウンしたり、遅くなったり、意味不明なことが起こったりする場合がありますが、Xサーバーではほとんど（体感的にですが）そういう目にあったことがありません。

私が20年以上使っていて、100社くらいのサイトさんに関わってきたうえでの経験でそういう体感があるので、自分で言うのもなんですが、だいぶ信頼できる口コミだと思いますｗ

というわけで、私のところもエックスサーバーの紹介コードがありますので、新規でお考えの方はこちらから登録していただけると嬉しいです。

https://px.a8.net/svt/ejp?a8mat=3NPHLE+51L922+CO4+6CHB5

初めて独自ドメインで、WordPressを導入する方は、上記から新規登録し、WordPressインストールオプションを使う方法が一番カンタンです。
しかも、独自ドメインも一緒にエックスサーバーで取得すれば、各種キャンペーンをしているのでよりお得です。（永年使用ゼロ円キャンペーンが一番お得）

webの森のサポート速報

さて、弊社でも管理している全部のWordPressのバージョンチェックを行いました。
6.5.4に該当するサイトは緊急アップデートということで6.5.5（最新版）にあげましたので
動作確認していただき、

「今までとちょっと違うな？
こんな表記なかったよね？」

みたいな気になることがありましたらお問い合わせください。

プラグインが自動更新され、たとえば日本語版にしていたのが（管理画面でみて）英語版になってるとか
そういうことはよくある現象です。たいてい気にしなくても大丈夫なはずですが
不安がありましたらお問い合わせいただければと思います。

また、二段階認証を導入されてない方は、今の時代必須ですので
ぜひご検討ください。
弊社と保守契約していないサイトは入れてないことがありますが、導入をおすすめします。
（その場合は設置手数料が有料ですがご了承ください。）

古いバージョンのWordPressと、古いバージョンのプラグインを使っているとどこに脆弱性が潜んでいるかわからず、（新しい脅威もどんどん出てきます）
常に最新に保つことが推奨されているのですが、
最新にしすぎて、安定バージョンになっていなくて、まだ発見されていないバグに遭遇してしまうこともあり。。。。

個人的には新しすぎず、古すぎない安定バージョンが良いのかなと思っています。
ということでwebの森では、保守契約のお客様サーバーでは最低１年に１回は最新版にするようにしています。

エンジニアさんによっては年に１度のアップデートでは遅すぎるから毎月やるべきという意見もあります。
重々承知しているのですが、そうすると保守費を値上げせざるを得なくなり
それも困る方が多いと思いますのでご了承いただけますと幸いです。

今後順次アップデートをしていきますので、もしHPを使っていて、気になることがありましたら
お気軽にお問い合わせいただきますようお願いいたします。

思い当たったら要注意！！！！

簡単なパスワードを使っている方
これは今の時代絶対やってはいけないことで
たとえば、●●というサイトでネットショッピングする
このサイトへのログインに簡単なパスワードを設置するのは（よくはないですが）まぁ仕方ないです。
でも、その簡単パスワードを、最重要である自分の会社のWordPressに使い回す
これが本当に本当に本当に危険！！！！！です。

Googleがこんな忠告をしてくれることもありますが、それは上記のような理由です。

駅のコインロッカーで使う鍵と
家の玄関の鍵があったとしたらどちらが重要ですか？
家の玄関の鍵は絶対に同じものを使ったりしませんよね？
それくらい最重要なパスワードと、
まぁそれほどでもないパスワードがあるので
WordPressの管理画面ログインパスワード及び、ネットショップの管理画面ログインパスワード、
その他機密情報が入っているクラウドとか業務用システム等も最重要ですので
そういう気持ちで使ってください。

（セキュリティのことになるつつい口酸っぱく注意したくなってしまい話が長くなってしまいます、すみません）

WordPressのログイン二段階認証を入れてない方

これもとても重要なので、今の時代必須です。

これをやることで、WordPressにログインすることが面倒になってしまい、困られている方がいらっしゃることも承知しています。

二段階認証をチェックするときに別のマドでメールをチェックしないといけないので、ブラウザを閉じてしまうと、はじめからやり直しになってしまうんですね。
初心者さんがつまずくのはたいていここのところで、スマホでも、ちょっとだけ指で上に押し上げて、ブラウザを宙ぶらりんにした状態で、完全に閉じないで、メール画面といったり来たりしながら、コードをコピー貼り付けする必要があります。