セキュリティー対策を甘く見てハッキングされてしまった



ワードプレスのサイトがハッキングされた!

先日(2月6日)、私が運営・管理しているいくつかのサイトのうち2つのサイトがハッキングされてしまいました。

ほとんどのサイトはワードプレスをベースに作成しているのですが、ハッキングされたその2つのサイトもワードプレスで作成していました。

どのようにされたかというと、2つのサイトとも最新の投稿記事のタイトルが「Hacked by ~」に書き換えられており、記事の内容も「hacked by ~」と一行書かれているだけになっていました。

初めての事だったので、びっくりしたと同時にちょっと焦りました。というのも、書き換えられていたのは最新の記事だけでしたが、不安になってネットでハッキングに実際にあった人の対処法等を調べていたら、phpのプログラムが書き換えられている可能性や、.htaccessが書き換えられている可能性、データベースの可能性もあり、もしそうだとしたら見た目だけを直してもダメで、どんな影響があるかわかないのでいったん全て削除しその後再インストールする必要があるかもしれなかったからです。

書き換えられている最新記事以外で一応怪しいと思われる箇所は確認しましてみましたが、正直言ってよくわかりませんでした。特に書き換えられているようには見えなかったのですが、素人の私にはネットで調べてわかった事以上の事はできませんので、新手のハッキングの場合は完全にお手上げです。

原因はアップデートが遅れたこと

さらに言うと、私が借りているレンタルサーバーがハッキングされていた場合はもう私ができることは限られてしまいます。そこで少し冷静になって、レンタルサーバーのサイトに何か障害情報やお知らせ等がないか確認してみました。すると、WordPressの脆弱性が発見されたので、それに対応した最新版にアップデートするようにとのお知らせが記載されていました。

そこで私はすぐにWordPressの脆弱性とアップデートについて調べてみました。するとWordPress4.7.0と4.7.1に「認証を必要とせずに外部より改ざんが可能となる深刻な脆弱性」があるということがわかりました。

ハッキングされた私の2つのサイトを確認すると2つともWordPressのバージョンは4.7.1でしたので、早速アップデートし、同時に他のサイトも調べ、最新でないものはアップデートしました。なかには会員登録制のサイトなど、あまりにもカスタマイズしすぎてアップデートすると不具合が出てしまうためアップデートができないものもありますが、できるサイトはなるべくすぐにアップデートをしなければならないと痛感しました。と同時に、もっとセキュリティーに関してちゃんと対策をしなければならないと思いました。

私が運営しているサイトは、会員登録制のサイトに関しては被害があった場合、自分だけでなく会員として登録している法人や個人に被害が及ぶ可能性がある為、セキュリティーには気をつかって対策をしていましたが、個人的なサイトに関しては直接的な被害は自分だけであるということと、まだそれほど閲覧数もない為、何も対策を講じていませんでした。そして何かあった時のバックアップもしていませんでした。

その為、書き換えられてしまった記事の復旧をどうしようかと思案しました。もちろん失った2つの記事は最新だった為内容もよく覚えてますし、また書こうと思えばかけますが、全く同じものは書けない事と、結構時間をかけて書いたので、また同じくらい時間をかけなければならないと思うとちょっと気が滅入りました。

初めてリビジョンが役に立った

しかしそこでワードプレスの投稿記事にはリビジョンという機能があることを思い出しました。リビジョンは「下書きまたは公開済み投稿それぞれ の更新記録を保存する機能」ですので、ハッキングによって書き換えられる前に保存したものが残っているかもしれないと思ったのです。

リビジョンは更新内容をいちいち保存してしまうためデータベースを肥大化させ、サイトを重くしてしまうというデメリットもあり、会員登録制のサイトをはじめ、他のサイトではプラグインを使ってリビジョンを保存しない設定にしていましたが、幸か不幸かハッキングされた2つのサイトは、リビジョンをコントロールするプラグインは入れていたものの保存しない設定にはしていなかったのです。

そこで確認してみると有難いことにリビジョンは残っていました。そしてそれを復元することで記事は無事もとに戻りました。これで何とか一安心できました。そしてどうやら今回のハッキングの影響はその記事の書き換えだけのようでしたので、再インストール等の大がかりな修正はせずに済みました。

セキュリティーを甘く見てはいけないし、面倒くさがってもいけない

今後は今回の事を教訓に、セキュリティー対策やバックアップなどを、面倒であってもきちんとやろうと思いました。

まずは最低限、新バージョンが公開されたらアップデートは行う事、それからプラグイン等によるセキュリティー、サーバー内のフォルダやファイルのパーミッションの設定、ワードプレスだけでなく、FTPやDBのパスワードの見直し、リビジョンをある程度残すこと、そして定期的なバックアップ等をやろうと思います。

これで完全というわけではありませんが、やっておかないでハッキングされたら後悔しますので、できることはやっておこうと思っています。それでダメなら素人の限界で仕方ないと思って諦めます。

今回は少し焦りましたが、本当にこの程度で済んでよかったです。