WordPressは自由度が高くオリジナルのサイトを作成しやすいので、個人だけではなく会社のホームページをWordPressで作成している人もいると言えるでしょう。
しかしWordPressが改ざんされてしまったという事例も数多く見受けられます。改ざんされてしまうと個人情報を盗まれたりサイトを悪質な形で利用されてしまうことがあるので、できるだけ早く対処したほうが良いと言えるでしょう。
今回は改ざんされてしまった時の対処法と改ざんされる前の予防策について詳しく解説します。
WordPress (ワードプレス)を改ざんされた時の対処法
対処する前の準備について
WordPressを改ざんされた後、復旧するためにはいくつか準備してから始める必要があります。
メンテナンスモードにする
サイトが改ざんされていると閲覧した人もウイルスの被害に遭う可能性がありますので、メンテナンスモードにしてサイトへの訪問を出来なくする必要があります。メンテナンスモードにするには「WP Maintenance Mode」というプラグインを使えば簡単に変更が可能です。
WP Maintenance Modeをインストールしたあと有効化にして設定画面へ移動します。
無効化になっていますので「有効化」に変更します。その他の設定は、特に変える必要はありません。
「設定を保存」をクリックして完了です。
WordPressからログアウトして、別のブラウザで自分のサイトを確認すると、メンテンナンスモードになっているのがわかります。これでサイトを訪問することはできなくなりました。
別ブラウザで確認する理由は同じブラウザの場合、自分のサイトのURLを検索するとWordPressの管理画面へ、アクセスしてしまう可能性があるからです。
ユーザー名とパスワードの変更
WordPressが改ざんされたということはユーザー名とパスワードも盗まれてる可能性があります。変更せずにそのままにしておくと再度侵入されてしまうことも考えられるので、必ず変更しましょう。
「Username Changer」でユーザー名を変更する
本来ユーザー名は変更できません。しかしUsername Changerというプラグインをインストールすれば簡単にユーザー名の変更ができます。インストール後は有効化にするだけで特に設定は必要ありません。
ユーザー名は「プロフィール」から「あなたのプロフィール」に進んで変更を行いますが、Username Changerをインストールする以前は「ユーザー名は変更できません」になっています。
こちらがインストール後の画面です。「Change Username」をクリックします。
3文字以上入力すれば「Save Username」がクリックできるようになります。クリックすればユーザー名の変更は完了です。
セキュリティを強化するためにも出来るだけ複雑なユーザー名にすることをおすすめします。
「プロフィール」でパスワードを変更する
ユーザー名と同じ画面でパスワードの変更ができます。「プロフィール」から「あなたのプロフィール」へ進みましょう。下のほうに新しいパスワードという項目があるので、「パスワードを生成する」をクリックします。
新しいパスワードが表示されてますので忘れないように注意しましょう。「プロフィールを更新」をクリックすればパスワードの変更は完了です。
ユーザー名とパスワードを変更すれば再発防止につながりますので必ず変更するようにしましょう。
バックアップデータを使って復旧する
バックアップがある場合は、比較的簡単に復旧することが可能です。バックアップを取る方法はいろいろありますので、バックアップデータにあった復旧作業をしましょう。
「バックアップのデータが何もない」という人は契約しているレンタルサーバーへ連絡してバックアップデータの有無を確認してみましょう。有料になるかも知れませんがデータを貰える可能性もあります。
サイトを削除する
復旧のめどが立たない時はサイトを削除するというのも1つの手段です。出来るだけ避けたいことではありますが、改ざんされて元に戻らないサイトを持っていても良いことはありません。削除して新しいサイトを立ち上げましょう。
WordPress (ワードプレス)の改ざんはどのように行われる?
不正ログイン
不正ログインをする時はツールを使用してユーザー名やパスワードを解読していると言われてます。不正ログインをされると個人情報を盗まれたり、サイトを勝手に書き換えられたりします。個人情報は盗まれてしまうと悪用されるケースが多いと言えるでしょう。またユーザー名やパスワードの変更を勝手にされてしまい、サイトにログインできなくなることも考えられます。
ゼロデイ攻撃
ゼロデイ攻撃とはプログラム上の弱い部分を狙って攻撃することで、WordPress内ではプラグインも対象です。ゼロデイ攻撃を受けると不正アクセスや個人情報を盗まれるといった被害に遭います。ゼロデイ攻撃にはいくつか種類があり、それぞれが特徴を持ったやり方になっています。
SQLインジェクション
ゼロデイ攻撃の1つです。セキュリティの弱いサイトへ不正なSQLの指示を出すことで、サイトから指示を受けたデータベースが言う通りに実行してしまいます。すると本来データベースに隠されている個人情報やクレジットカードの情報が盗まれたり、サイトが改ざんされたりします。大人数の顧客を抱えてる企業にとっては怖い攻撃方法の1つと言えるでしょう。
クロスサイトスクリプティング
セキュリティの弱いサイトへ罠をしかけて訪問を待つタイプのゼロデイ攻撃です。うっかりリンクをクリックしてしまうと気づかない内に、複数のサイトから徐々に個人情報を持ち出されてしまいます。
WordPress (ワードプレス)を改ざんされた後に起こること
ブラックリストに追加される
改ざんされたサイトは悪意があるサイトとGoogleに判断されてしまい、ブラックリストに追加されてしまう危険性もあります。またブラックリストとは違いますが企業のサイトが改ざんされた場合は信頼を失うこともあるでしょう。顧客情報を盗まれたりサイトの情報があやふやになったりしますので、信用できない企業とみなされる可能性が高いです。
ウイルスの拡散
改ざんされたサイトはウイルスに侵されていることがほとんどです。知らずに訪問した人もウイルスに感染します。改ざんされたまま気づかない、または放置していると被害はあっという間に拡大していきます。
WordPress (ワードプレス)の改ざん予防策
ユーザー名やパスワードの強化
不正ログイン時にツールを使ってユーザー名やパスワードを解読するケースが多いと言われてます。ユーザー名とパスワードを強化しておけば、ツールを使用しての不正ログインを防ぎやすくなると言えるでしょう。変更作業は難しくありませんので時間のある時にやっておきましょう。
使用していないプラグインの削除
プラグインもゼロデイ攻撃の対象になりますので、使用していないプラグインは削除しましょう。ゼロデイ攻撃はどこから来るかわからないのでリスクのある物は、少しでも減らしておいたほうが改ざんされにくくなります。
アップデートを必ず行う
WordPressやプラグインのアップデートをすれば弱い部分やシステム上の不具合を見直せます。ゼロデイ攻撃はプログラム上の弱い部分を狙って攻撃してきますので、最新版で揃えていたほうが安全と言えるでしょう。
All In One WP Security & Firewallをインストールする
All In One WP Security & Firewallはセキュリティを強化するプラグインです。ファイアウォールの設定やログインパスワードを間違えた時にロックが掛かる仕組みなどが追加されます。他にもいろいろなセキュリティ機能が付いているのでインストールしておけば改ざんを未然に防げるでしょう。
定期的にバックアップを取る
バックアップがあればサイトを改ざんされても直せる確率が高いので、小まめにバックアップを取ったほうが良いです。どうしたら良いのかわからないと悩んでると状況は悪化し続けるかもしれません。万が一のことを考えてバックアップは確実に取っておきましょう。
WordPressの改ざん事例が多い理由
WordPressが改ざんされたという事例が多いのは利用者数が多いからです。無料のCMSなので不安に感じることもあるかもしれませんが、WordPressがダメというわけではありません。
ただ事例があがってることは事実です。油断せずに自分で実行できる範囲の中で個々にセキュリティを強化していきましょう。
WordPress (ワードプレス)を改ざんされてしまった時の対処法 まとめ
WordPressを改ざんされると何をして良いのかわからなくなります。しかし1つずつ作業をしていけば元に戻せる、または元の状態に近づけることは出来ます。削除するのは最終手段なのであきらめずに復旧させましょう。
改ざん後の対処も大切ですが、改ざんされないための予防策も重要です。安心してサイト制作に取り掛かれるようにセキュリティの強化も欠かさずに行っていきましょう。