サイトがハックされた!となる前に。

Minoru Nitta
Minoru Nitta
グラフィックデザイナー・フォトグラファー
このエントリーをはてなブックマークに追加

サイトがハックされた!となる前に。

ハックの対象になりやすいWordpressサイト

 CreativeMindsの記事によると、全世界で実に4億5500万以上のワードプレスサイトがあり、この数に信ぴょう性があるのであれば、ウェブの35%がWordpressで動いている計算になります。

 Wordpressが、爆速でウェブサイトを構築できるCMSであることを考えるとうなずける数字です。

 しかし、WordpressはPHPのかたまりで、ウェブサイトが表示されるたびにデータベースから情報を引き出す動的なシステム。ハッカーたちとっては少しでもチャンスがあれば様々なプログラムを実行することができるかもしれない、格好の標的です。

トラフィックが少ないからと言って標的にならないとは限らない

 これは自分が体験しているので間違いありません。トラフィックには関係なくアタック行為を散見することができます。

 Wordpressはそのポピュラーさゆえに、ハック用のツールが存在するほどで、アタックしたいサイトのリストを作って順番にアタックするなんて、難しいことではありません。

絶対に対策が必要です

基本的な対策としては、

  1. WordPress、付随するプラグインは常に最新にしておく
  2. 使わないプラグインはアンインストールしておく
  3. できるだけプラグインの数を減らしておく
  4. ハッキング対策プラグインをインストールしておく
  5. 頻繁にチェックする

と、いったところでしょうか。

備えあれば憂いなし

 上記の4にあたる部分です。自分のオススメはWordfenceというプラグイン。

 定期的にサイト内のファイルの改変やプラグインのバージョン情報などをスキャンしてメールでサイトの情報をレポートしてくれます。

 先日実際にこのレポートメールで問題を発見してもらえました。

 WordfenceはWordfence Centralというサービスもあり、Wordfenceをインストールしたサイト群を一元的に管理する機能も利用できます。自分はクライアントのサイトは必ずWordfence Centralに接続するようにしています。

    wordfence

     手に負えないほど深刻な状況になってしまったら、有料で修復を依頼することも可能です。

     経験上、結構深刻な状態になったことはありますが、手動でファイルの削除や再インストールを行うことで、お金をかけずに修復することができています。

    Wordfenceのインストール方法

     Wordpress管理画面 > プラグイン > 新規追加からWodfenceと入力します。

     候補にWordfenceが表示されるので、今すぐインストールボタンをクリックします。ちなみに次点候補で表示されるWordfence AssistantはWordfenceのログデータベースなどを削除したり管理する別体のプラグインです。

     インストールしたら、ボタンが有効に変わるので有効ボタンをクリックしてプラグインを有効にします。

     有効にしただけでは万全な状態にはなりません。

     Wordpressの管理画面にWordfenceのメニューが追加されるので、Wordfenceメニューをクリックします。

     通知を送りたいメールアドレスを入力、メーリングリスト受け取りの有無、使用条件合意のチェックボックスをチェックしたらCONTINUEボタンをクリックします。

     この画面は有料版のキーを入力する画面なので、そのまま無料で使用する場合はNo Thanksと小さく書かれている部分をクリックします。

     WordfenceメニューのScanをクリックしてみましょう。このような画面が表示されれば定期的にスキャンされるようになります。

     絶対にオススメです、このプラグイン。自分が運用しているWordpressサイトすべてにインストールしていますし、実際何回も警告メールを受け取っています。

     日々の運用で便利なのが、定期レポート。バージョンが古くなったプラグインやサーポートが終了したプラグインなども知らせてくれます。