WordPressをハッキングされるとどうなりますか?

   web入門, web知識あれこれ| 

弊社の関係者さんからの情報で、(一昨日のことです)致命的なハッキングにあってしまったWordPressサイトがありました。

ハッキングにあったWordPress

・バージョンが6.5.4
・二段階認証を入れていない
・パスワードが簡単なものだった

ハッキングされたサイトの症状

  • 管理画面にログインできなくなった
  • index.phpという非常に重要なファイルの上に長大なウィルス(?)コードが埋め込まれていた

という症状が確認できているそうです。

修復方法

もしこういうことがあると、どうやって修復するかをお知らせします。

  • まず調査、どこまで被害があったのか?
  • いったんサーバーの中を全削除で更地にします。
  • 新しいWordPress本体をインストールします。
  • サーバー会社に保存されている自動Backupからデータベースをもらってきます(有料)
  • 制作会社がローカルに保存してあるデザインテンプレート等のファイルをアップロードして見た目の復旧をさせたあとに
  • プラグイン等の諸々設定をやりなおし
  • データベースをインポートすると、ハッキング前の状態に復旧できます。

これ一式で復旧に20~30万円くらいの費用がかかります。
全部更地にする必要はないかもしれませんが、どこまで汚染されているかを調査するのはとても困難で、何倍も時間がかかりますので、いったん更地にして、そこにきれいな建物を新築したほうが現実的なのです。

ただ、制作会社がローカルに保存していたテンプレートのデザインデータ、これがないとデザインの復元はかなり大変になりますし、サーバーの方でデータベースの自動Backupをとってない場合、もしくはプラグイン等で自動バックアップをとってない場合は、
最後にBackupをとった日まで、タイムマシンのようにサイトがその時点に戻ってしまいます。

たとえば1年前にBackupしてあった場合、1年前から昨日までの更新したことはすべてなくなってしまいます。
恐ろしいですね。。。。

ブログ投稿したものはもちろん、固定ページの方で更新したことや諸々、全部なかったことに・・・・

しかもしかも・・・です。すぐにハッキングされたことに気がつけば良いのですが、気が付かずに1ヶ月くらい放置されていてあとから気がついた場合は、データベースで保存してある自動Backupも汚染されているわけなので使えないということになります。

エックスサーバーがおすすめです

webの森ではエックスサーバーを使っています。
エックスサーバーの良いところは管理画面が使いやすいとか、変な広告メールが来ないとか、いっぱいありますが、「データベースを7日間、自動バックアップしてくれる」ことも大きなメリットです。基本使用料の中にこれが入っていますので
7日以内に異変に気がつけば、最悪、7日前の状態には戻すことができる、という意味になります。

他にもエックスサーバーは良いところがいっぱいあり、私の仲間のウェブ屋さん皆さん異口同音にエックスサーバーが良いと言っていますので、業界内での評判もたしかです。

他のサーバーに設置したWordPressで、負荷のかかる作業をしていたら、サーバーが一時的にダウンしたり、遅くなったり、意味不明なことが起こったりする場合がありますが、Xサーバーではほとんど(体感的にですが)そういう目にあったことがありません。

私が20年以上使っていて、100社くらいのサイトさんに関わってきたうえでの経験でそういう体感があるので、自分で言うのもなんですが、だいぶ信頼できる口コミだと思いますw

というわけで、私のところもエックスサーバーの紹介コードがありますので、新規でお考えの方はこちらから登録していただけると嬉しいです。

https://px.a8.net/svt/ejp?a8mat=3NPHLE+51L922+CO4+6CHB5

初めて独自ドメインで、WordPressを導入する方は、上記から新規登録し、WordPressインストールオプションを使う方法が一番カンタンです。
しかも、独自ドメインも一緒にエックスサーバーで取得すれば、各種キャンペーンをしているのでよりお得です。(永年使用ゼロ円キャンペーンが一番お得)

webの森のサポート速報

さて、弊社でも管理している全部のWordPressのバージョンチェックを行いました。
6.5.4に該当するサイトは緊急アップデートということで6.5.5(最新版)にあげましたので
動作確認していただき、

「今までとちょっと違うな?
こんな表記なかったよね?」

みたいな気になることがありましたらお問い合わせください。

プラグインが自動更新され、たとえば日本語版にしていたのが(管理画面でみて)英語版になってるとか
そういうことはよくある現象です。たいてい気にしなくても大丈夫なはずですが
不安がありましたらお問い合わせいただければと思います。

また、二段階認証を導入されてない方は、今の時代必須ですので
ぜひご検討ください。
弊社と保守契約していないサイトは入れてないことがありますが、導入をおすすめします。
(その場合は設置手数料が有料ですがご了承ください。)

古いバージョンのWordPressと、古いバージョンのプラグインを使っているとどこに脆弱性が潜んでいるかわからず、(新しい脅威もどんどん出てきます)
常に最新に保つことが推奨されているのですが、
最新にしすぎて、安定バージョンになっていなくて、まだ発見されていないバグに遭遇してしまうこともあり。。。。

個人的には新しすぎず、古すぎない安定バージョンが良いのかなと思っています。
ということでwebの森では、保守契約のお客様サーバーでは最低1年に1回は最新版にするようにしています。

エンジニアさんによっては年に1度のアップデートでは遅すぎるから毎月やるべきという意見もあります。
重々承知しているのですが、そうすると保守費を値上げせざるを得なくなり
それも困る方が多いと思いますのでご了承いただけますと幸いです。

今後順次アップデートをしていきますので、もしHPを使っていて、気になることがありましたら
お気軽にお問い合わせいただきますようお願いいたします。

思い当たったら要注意!!!!

簡単なパスワードを使っている方
これは今の時代絶対やってはいけないことで
たとえば、●●というサイトでネットショッピングする
このサイトへのログインに簡単なパスワードを設置するのは(よくはないですが)まぁ仕方ないです。
でも、その簡単パスワードを、最重要である自分の会社のWordPressに使い回す
これが本当に本当に本当に危険!!!!!です。

Googleがこんな忠告をしてくれることもありますが、それは上記のような理由です。

駅のコインロッカーで使う鍵と
家の玄関の鍵があったとしたらどちらが重要ですか?
家の玄関の鍵は絶対に同じものを使ったりしませんよね?
それくらい最重要なパスワードと、
まぁそれほどでもないパスワードがあるので
WordPressの管理画面ログインパスワード及び、ネットショップの管理画面ログインパスワード、
その他機密情報が入っているクラウドとか業務用システム等も最重要ですので
そういう気持ちで使ってください。

(セキュリティのことになるつつい口酸っぱく注意したくなってしまい話が長くなってしまいます、すみません)

WordPressのログイン二段階認証を入れてない方

これもとても重要なので、今の時代必須です。

これをやることで、WordPressにログインすることが面倒になってしまい、困られている方がいらっしゃることも承知しています。

二段階認証をチェックするときに別のマドでメールをチェックしないといけないので、ブラウザを閉じてしまうと、はじめからやり直しになってしまうんですね。
初心者さんがつまずくのはたいていここのところで、スマホでも、ちょっとだけ指で上に押し上げて、ブラウザを宙ぶらりんにした状態で、完全に閉じないで、メール画面といったり来たりしながら、コードをコピー貼り付けする必要があります。

 

 

   web入門, web知識あれこれ| 

  関連記事

Q:ドメイン移管の手順を教えてください

ドメインの移管(ドメインの管理者を移動すること)の手順は、転出と受け入れ先のそれぞれのレジストラ業者 ≫続きを読む

不労所得って悪いことなの?資産の運用なら全然OKだし勉強するべき

ビットコインって何?危ないんじゃない?そんなことに手を出したら・・・・ ビットコインとか暗号資産の話 ≫続きを読む

illustratorでキャラクターに色を塗る方法

illustratorで、キャラクターに色を塗る方法を紹介します。 1)線でイラストを描きます。後ろ ≫続きを読む

時間の計算をしたい時に・・・

ちょっとしたメモです。 数字が弱いわたしは、13時35分から1時間半で・・・と言われてもすぐに 何時 ≫続きを読む

【ホームページの作り方】WordPressの勉強をしたいのですが・・・

Q:WordPressのサイトを土台まで友人に作ってもらったのですが、そこから先どうしたら良いかわか ≫続きを読む

【Q】ネットショップには「ランディングページが大事」と聞きました。ランディングページって何ですか?

まずはランディングページ、見てみてください。こんなページのことです。ランディングページのリンク集 テ ≫続きを読む

パラコードアクセサリー製作入門! in 駒ヶ根高原・ヴァンドール

突然ですが、パラコードって知ってますか。 パラシュートを結ぶ紐なんですが、弾力があって柔らかいのに、 ≫続きを読む

Dreamweaverで携帯サイトを作る方法

携帯(ガラケー)サイトの作り方なんてもう不要な技術なのかもしれませんが、自分でも、この記事の中身をも ≫続きを読む

Canva vs Affinity 比較してみた。デザインするならどっち?

こんにちは、モモンガです。今日は、2024年7月11日。待っていました、Affinityの6ヶ月無料 ≫続きを読む

HTMLコードの編集がよくわからない…不安という方に

こんにちはモンガです。今日はHTML コードが簡単に編集できる便利なツールの 紹介をします。 ネット ≫続きを読む

▲ページ先頭へ