『10分で分かる!最低限やっておくべきWordPressセキュリティ対策マニュアル』をご請求いただいた場合、さくらnetbiz発行の「さくらNB通信」に登録させていただきますので、予めご了承ください。なお、メルマガの購読解除は、メルマガ内に記載の解除用URLからいつでも簡単にできるようになっております。
万が一、レポートのダウンロード方法が記載されたメールが届かない場合は、迷惑メールフォルダに入っている場合もありますのでご確認ください。迷惑メールフォルダにも入っていない場合は、別のメールアドレスで再度ご請求ください。(推奨:Gmail)

  • WordPressにログインした時「WordPress5.x.xが利用可能です!更新してください」という表示がつきっぱなしになっている
  • ブログを書く以外、何も触ったことがない
  • バックアップのとり方が分からない
  • よく分からないプラグインが入ったままになっている
  • ログイン時のユーザー名とパスワードが、他でも使っているものと同じ(使いまわししている)
  • 自分のWordPressが不正アクセスされるなんて考えたこともない
  • 不正アクセスされたらどうなるのか、どう対応すればいいのか、さっぱり分からない
  • WordPressにログインした時「WordPress5.x.xが利用可能です!更新してください」という表示がつきっぱなしになっている
  • ブログを書く以外、何も触ったことがない
  • バックアップのとり方が分からない
  • よく分からないプラグインが入ったままになっている
  • ログイン時のユーザー名とパスワードが、他でも使っているものと同じ(使いまわししている)
  • 自分のWordPressが不正アクセスされるなんて考えたこともない
  • 不正アクセスされたらどうなるのか、どう対応すればいいのか、さっぱり分からない

『10分で分かる!最低限やっておくべきWordPressセキュリティ対策マニュアル』をご請求いただいた場合、さくらnetbiz発行の「さくらNB通信」に登録させていただきますので、予めご了承ください。なお、メルマガの購読解除は、メルマガ内に記載の解除用URLからいつでも簡単にできるようになっております。
万が一、レポートのダウンロード方法が記載されたメールが届かない場合は、迷惑メールフォルダに入っている場合もありますのでご確認ください。迷惑メールフォルダにも入っていない場合は、別のメールアドレスで再度ご請求ください。(推奨:Gmail)

バックアップ・セキュリティ対策をしていないことがどれくらい怖いことか?

論より証拠、不正アクセスされた方の実例3件ご紹介します。

3件とも、私のクライアントさんや知人から相談されて対応を行ったものです。

事例1 クラウドサーバーを使っているAさん

Aさんは、あるサーバー設置型のシステムを使うためにクラウドサーバーを利用し、そこにWordPressや他のファイルもアップロードされていました。

ある日、そのサーバー設置型のシステムが突然使えなくなってしまいました。
ログインページにアクセスしようとしても、そのページがエラーで表示されないのです。

まずは、サーバーのコントロールパネルで原因を探ってみようとしたのですが、そのコントロールパネルにもログインできません。

その頃、Aさんの元にサーバー会社からメールが届いていました。

Aさんから相談された私は、その時まだ「WordPressに不正アクセスされたらどうなるか?」という実例を知らなかったため、WordPressが原因だとは思いもよらず・・・。

FTPのパスワードが漏れたのだろうか?
とにかく復旧させなくてはならないけど、どうすればいいのだろうか?

と、必死で考えてサーバー会社とも連絡をとったりしたのですが、結局サーバーは復旧されず、すべてのデータは消えてしまいました。

新たにサーバーを構築し、ほぼ元通り稼働させるまでに約2週間。
それでも、バックアップをとっていなかったファイルなどもあったため、完全に元通りというわけにはいきませんでした。

後日、ある方から「WordPressが原因かもしれないですね」というアドバイスをもらい、WordPressを管理していた人に尋ねると、放置したままで更新も何もしていなかったとのこと。
おそらく、そのWordPressから不正アクセスされたのだろう、と、今ではそう考えています。

事例2 エックスサーバーを使っているBさん

Bさんはサーバーの利用歴も長く、ご自身でサイトをいくつも所有されていて(WordPress含む)、サーバー設置型のシステムも複数使われています。その複数あるWordPressのうちの1つにアクセスできなくなったので、調べてみてほしい、と相談を受けました。

事例1のことがありましたので、不正アクセスの可能性を考えて調べたところ、バックドア(*)が仕込まれていたことが分かりました。

(*)バックドアとは「裏口」を意味する英語。正規のログイン画面からではなくても侵入できる「裏口」として設置されます。

エックスサーバーからもこのようなメールが届きました。

結局この件は、WordPressの脆弱性をつかれて不正侵入され、メール送信プログラムを埋め込まれてしまってスパムメールの発信元にされてしまった、ということでした。

エックスサーバーからのメールに「webアクセス凍結解除のための対応手順」が記載されていましたので、そのとおりに対応を済ませましたが、もうこのドメインは使われていません。

Bさんのアイコン画像Bさん

たまに、アクセス解析を見てたら、海外からのアクセスが多いのが気になってました。
そうしてたらある所有サイトが、自分でアクセスできなくなっていました。

「えええ? どういうこと?(汗)」

あわてて、サーバー会社に問い合わせたら、不正なアクセスにより、サーバーから海外に大量メールが送信されたため、緊急措置で、サーバー停止状態とのことでした。

「??? えええええええええええ?」

そこからパニックになりながら、いろいろ調べて、そのドメインは捨てることにしました。

それから、さくらさんに急きょセキュリティー全般をお願いして設定をしてもらってからがさらに恐ろしいことになりました。

何と、月に数度のペースで実は不正プログラムから攻撃されているのです、どのサイトも。 滝汗

デフォルトの状態のワードプレスなんでどうやらザル並みのセキュリティーです。

いろいろなセキュリティー対策をしてもらって初めて、実は頻繁に攻撃をされていることが明るみに出たのです。

それから、セキュリティーに関してはさくらさんにすべてお任せしています。
複雑すぎて自分で対応できるものではないです。

※補足
Bさんの場合、この出来事のあとすぐ、所有されているWordPressすべてにセキュリティ対策をさせていただきました。
このレポートで説明している内容より、もう少し複雑な設定をしています)
アクセスを試みたすべての履歴が分かるようにしてあるので、どれだけ攻撃されているかが分かるようになっています。

事例3 ヘテムルを使っているCさん

Cさんは実店舗(サロン)でビジネスをされているため、WEBのことにはあまり詳しくなく、サーバーのこともWordPressのことも不慣れでした。
WordPressはご自身のサービスの公式サイトとして外注で作られたもので、ご自身でWordPressの管理画面(ダッシュボード)にログインされることはほとんどなかったそうです。

そんなCさんの元に、ヘテムルからメールが届きました。その内容は「サーバ上で運営されているWEBサイト上におきまして、改ざんが確認された」というものでした。

そのサーバー上で運営しているWEBサイトは、WordPressで作られたサイト1つだけでしたので、明らかに「WordPressの改ざんが行われた」ということが分かりました。

ヘテムルからのメールにも対応方法が記載されていましたので、その通りに対応を済ませて、Cさんからサーバー側へ報告をしていただきました。ただ、あるページの内容が丸ごと削除されてしまい、バックアップもとっていなかったため、復旧させるためにはイチから作成しなくてはなりませんでした。

結局この件は、WordPressの脆弱性をつかれて不正侵入され、メール送信プログラムを埋め込まれてしまってスパムメールの発信元にされてしまった、ということでした。

Cさんのアイコン画像Cさん

まず、何ごと???と思いました。

自分のホームページがこのような事にあって初めて、知識のない人間はセキュリティーの大切さなどを知るのです。

しかし、今では知識のない人間でもホームページを持つことは珍しい事ではないと思いますので、あたしはまず、作った人の無責任さを痛感しました。

どうして、あんな簡単なパスワードにしたのか?
どうして、きちんと説明してくれなかったのか?

これはあくまでもあたしの場合です。
(いろんな背景があるので…)

もう少しセキュリティーに対する知識があれば、パスワードなども難しいものに変更していたと思います。

無知と言うことは恐ろしいです。
自分でしっかり学んでおけば、このように無駄な時間とお金を使わずにすんだのにと、悔やまれることばかりです。
いい勉強になりました。

脅すわけではありませんが、今これを読んでいるあなたも、不正アクセスされて改ざんされる可能性は十分にあります。

「自分だけは大丈夫」ではないのです。

『10分で分かる!最低限やっておくべきWordPressセキュリティ対策マニュアル』をご請求いただいた場合、さくらnetbiz発行の「さくらNB通信」に登録させていただきますので、予めご了承ください。なお、メルマガの購読解除は、メルマガ内に記載の解除用URLからいつでも簡単にできるようになっております。
万が一、レポートのダウンロード方法が記載されたメールが届かない場合は、迷惑メールフォルダに入っている場合もありますのでご確認ください。迷惑メールフォルダにも入っていない場合は、別のメールアドレスで再度ご請求ください。(推奨:Gmail)

さくらnetbiz
釘田泰子
(ニックネーム:さくら)

2009年、趣味でブログを書き始め、自宅にいながらできる「インターネットを使ったビジネス」に興味を持ちはじめる。

2010年より、メルマガを使ったアフィリエイトを開始。アフィリエイトを通じて、ブログやサイトの作り方をはじめWEBの仕組みからマーケティングまで様々な知識や技術を身につける。

2011年4月より、それまでの経験を活かしてWEB関連の作業を代行するビジネスを開始。WPを使ったサイト制作、LPコーディング、スモールビジネスオーナーのWEBに関する作業全般を代行、など、さまざまな依頼を口コミを通じて受注。

現在は、メルマガ配信システムのサポート代行、メルマガ塾でのサポーター、某起業塾でのITサポーター、某アドセンス塾でのWPサポーターなども務めている。

© 2019 sakuranetbiz.
プライバシーポリシー