Webサイトのセキュリティ対策(WordPress編)

保守・セキュリティ対策

最近Webサイトのセキュリティ対策について、ご相談をいただく機会が増えてきました。
特にWordPressで作られたサイトでは、以下のような事例があります。

・気づかないうちに英語で書かれた謎の記事が大量に投稿されている
迷惑メールが大量に届く
・ブラウザでサイトを開くと、セキュリティソフトが危険という警告を出す
・メールフォームの確認画面で、入力内容と無関係な英語の文章に差し替わる
・ある日突然「無関係な他社への攻撃に使われている」と警察から連絡がきた

これらのご相談の多くは、WordPressをWebサイト制作当時から使い続けており、特にバージョンアップやセキュリティ対策を施していない場合に見受けられます。

今日は、それぞれのケースについてどのような対応をするのがよいのかご紹介したいと思います。

case.01 気づかないうちに英語で書かれた謎の記事が 大量に投稿されている

このケースは、WordPress内に何らかの方法で侵入され、主にプログラムなどによって勝手に記事が投稿されてしまうケースです。

新着情報やブログが、いきなり英語のスパムで埋め尽くされてしますので、ユーザーに対して不信感を持たれ、企業イメージにも関わります。

対策としては、ログイン情報をすべて変更する、セキュリティプラグインなどを導入するなどが効果的です。
また、記事の投稿者によってアカウントを分けている場合、スパム記事の投稿者名を見れば、どのアカウントの情報が漏れたのか特定できる場合もあります。

主な一次対応
・WordPressのログインパスワードを変更する
・使っていないユーザーアカウントを削除する
・FTP接続でサーバー内のファイルが改変されていないか確認する
・プラグイン「SiteGuard」などを利用して、ログインURLを変更したり、画像認証をつける

case.02 迷惑メールが大量に届く

「Contact form 7」や「MW WP form」など、メールフォームプラグインはいろいろありますが、どのプログラムであっても、迷惑メールのターゲットにされるケースは後を絶ちません。

特に英語や中国語の迷惑メールが多いようです。
これは、「あなたの会社を狙って送っている」というよりは、ネット上のメールフォームを何らかのプログラムで見つけ、自動的にメールを送っているというケースがほとんどです。

かなりの企業様で被害にあっている一方で、対応する解決策もまた豊富にあります。

・日本語が含まれない場合は、エラーを出して送信できなくする
・IPアドレスやメールアドレスによって、送信ブロックする
・「Google reCAPTCHA」などの画像認証やスパム防止プログラムを導入する

ほとんどの場合は、こういった対策で解決できるかと思います。
ただし、解決できないケースもあります。

それは、国内の企業が手作業で営業メールを送ってくるパターンです。
人の手で行い、日本語で送ってくるメールにはいまのところ対策はできません。
「営業のメールは固くお断りしております」
などの表示を出してみるしかないかなと思います。

case.03 ブラウザでサイトを開くと、 セキュリティソフトが危険という警告を出す

このケースは、セキュリティソフトによっては、サイトを全く閲覧できなくなるだけではなく、危険な企業であるというレッテルをはられかねませんので、早急な対応をおすすめします。

具体的な原因としては、何らかの方法でサーバ内に侵入されて、サイト上に「悪意のあるプログラムを埋め込まれた」ということが考えられます。
または、WordPressの管理画面から直接埋め込まれるケースもあります。

対策としては以下のようなものが考えられるでしょう。

・サーバにアクセスして、不審なファイルやデータが改ざんされていないかを確認する
・警告が出るページを管理画面で開き、ソースを見て意図しない記述などが混入していないかをチェックする

悪意のあるプログラムを発見したら、削除することも大事ですが、そのままだとまた同じ改ざんが行われる可能性があります。
FTPアカウントや、WordPressのログイン情報など、各種アカウントのパスワードを変更するなどして、再侵入されないように対策を行いましょう。

case.04 メールフォームで送信しようとすると、 入力内容確認画面で無関係な英語の文章に差し替わる

これは少しレアケースなのですが、フォームに悪意のあるプログラムを埋め込まれるパターンです。

ユーザーがフォームに入力して、確認画面に進むと、そこに入力内容とは全く異なる英語の広告文章が表示されるという内容。

難しいのは、発覚が極めて困難という点です。これを目にしてもユーザーはメールを送れないため、サイト管理者に不具合があることを伝えることはできません。

また管理者側も、自分のメールフォームの確認画面まで進んでテスト送信することは稀なため、気づかれるまでずっと表示され続ける可能性があります。

最近問い合わせが全然こないな、と思ったら一度メールが正常に送れるかどうか、テストしてみるのがおすすめです。

ちなみに実際にこのプログラムがどのような仕組みで行われているのか弊社でも特定できていないのですが、対策としてはメールフォームプログラムを丸ごと取り替えることで解決することができました。

case.05 ある日突然警察から連絡がきて、 無関係な他社への攻撃に使われていると言われた

これも珍しいケースかもしれませんが、無関係なことではありません。むしろサイバー攻撃が増えている中で、今日明日にもこんな事態が発生する可能性があるのが怖いところです。

このケースは、知らない間にWebサイトにプログラムをアップされ、全く関係のない他企業へのサイバー攻撃の踏み台にされたことで発生します。

怖いのは、Webサイト上には一切変わったところがないため、サイト管理者がそのことを認識するのはほとんど不可能だということです。

このため、日頃のセキュリティ体制をしっかり整えておくことが必要になります。

・WordPressやプラグインを定期的にアップデートする
・セキュリティ対策プラグインなどを導入する
・セキュリティ診断などで、不正な改ざんやファイルが置かれていないか確認する

発生してしまった場合は、警察の方や専門家の指示のものとで、不正なファイルを除去したりパスワードを解除することが必要になります。

実際に弊社でも、かなり以前にお作りして保守契約をされなかったお客様から、ご相談いただいたことがあります。
その際は、警視庁のサイバーセキュリティー担当の方にご指示をいただいたり、お越しいただいて詳しいお話をお伺いしながら対応を行いました。

この対応はとても時間や労力を使いますし、他社への攻撃に利用されるとということは、会社の信用に関わることですので、しっかり対応を行いましょう。

Webサイトのセキュリティ対策 (WordPress版)まとめ

Webサイトのセキュリティ対策は、効果が見えづらいこともあって、毎月コストをかけて実施いただくことに、なかなか踏み切れない方も多いと思います。

しかし、いざ何かトラブルが起こったときに、会社としての信頼を失ったり、Webサイトからの集客がストップしてしまうなど、大きな損失につながる可能性があります。

事前にしっかりと対策を行ってリスクに備えたり、何か発生した場合に迅速に対応をしていただけるところと関係を持っておくことが、日々の事業を滞りなく行っていくためにも不可欠です。

Webサイトのセキュリティ対策は、日頃からしっかり行っておくことをおすすめいたします。
まずは、「SiteGuard」という簡単に導入できるプラグインから対策をはじめてみましょう。以下に使い方をまとめてみましたので参照ください。

WordPressプラグイン「SiteGuard」でセキュリティ対策をしよう
前回の記事で、WordPressのセキュリティ対策についてお話しましたが、今回はプラグインを使って手軽にセキュリティ対策ができる方法についてご紹介します。 その名も「SiteGuard」というプラグインです。 このプラグインを利用することで

Webサイトだけでなく、業務用ツールもセキュリティ対策をしましょう。

429 Too Many Requests

プラソルでは、セキュリティ対策をはじめたとした保守対応も行っております。
ご希望の方、ご相談したいという方はお気軽にご相談ください。

お問い合わせはこちら

]]>