WordPressサイトに不正アクセス

以前、制作に関わったサイトが不正アクセスに合いました・・

実際に被害にあった項目はこちら!

  • サーバーに不明ファイルが複数配置されていた。
  • WordPressサイトのメインユーザーアカウントの改ざん

大きくはこの2点だったのですが今回、判明するきっかけになったのはGoogle consoleからの通知でした。

今回、被害にあったサイトは保守契約をしていなかったので普段から監視はしていなかったのですが

被害に合う前から海外からのメールが増えていたそうです。

この減少が起きたときに困ったのがサイトが表示されないのでwpのログイン画面に入れなかったことです。

Googleから連絡のあった該当ファイルを削除しGoogleに削除を行ったことを通知しました。

時間的には通知してから1日くらいは待ったかと思いますがサイトのログイン画面には戻れました。

その後の対応

別アカウントにてログインしてwp上の確認を行いました。そこで見たこともないアカウント名がメインアカウントになっていました。思いっきりアノニマスって英語で書いてあったので不正アクセス確定って感じでしたw

別アカウントをメインアカウントに変更した後に余計なアカウントは削除しました。

wpのバージョンアップ、使用プラグインのバージョンアップを行いその後に再度バックアップを作成し

現状、問題なく復旧しました。

今回のWordPressサイトでの問題点

  • wpのバージョンアップを行っていなかった。
  • プラグインのバージョンアップを行っていなかった。
  • 保守契約をしていなかったので放置されていた。

WordPressはよく狙われてると言われます。まぁユーザーの数もいるので仕方がないのですが今回のサイトもパスワードもそこまで簡単なものではなくパスワードメーカーで作成した複雑なものでした。なので今回の不正アクセスが実際にはどこからやられたものかは不明です。

ただWordPressを使ってサイトを作る以上、このリスクとも付き合っていかねばなりません・・・

WordPressサイトで必要なセキュリティ

  • 二段階認証を導入すること
  • 他サイトと同じパスワードは使わない
  • バージョンアップをしっかりと行うこと

こんなとこでしょうかねー

こういった被害は忘れた頃に急にきたりするものなのでバックアップと監視は大事ですね。

100%大丈夫!とはいきませんが対策して安全にサイトを運用しましょう!

Can

長野市在住のデザイナー
webを中心にお仕事してます。名刺とかステッカー、ロゴ等の制作も承ります。

他の記事

CAN

31歳になる際に地元、長野市に戻り
ウェブ制作、フライヤー・名刺制作、ステッカー制作、アパレルブランド展開を行っています。

  • 趣味はウェイクサーフィン、漫画、映画、麻雀、APPLE
  • 主な使用アプリケーション Photoshop,Illustrator,Premiere
  • Wordpress制作をElementorを主に使用して行っています。
  • 小規模サイトからwoocomerceまで幅広く制作しております。