大事なサイトがハッキングに会わないために②

セキュリティ

前回は「自分のサイトも狙われている」と自覚を持つことが大切だとお話させていただきました。

サイトや事業の大小に関わらず、セキュリティの弱いサイトが狙われているのです。プチラパンがそうだったように。

 

ガードすることが大切

なんと言ってもパスワード!

あたり前すぎますがパスワード管理が本当に大事です。プチラパンはパスワードが破られて管理者権限で堂々と悪さをされたと推測されます。

  • 自動生成の意味の無い文字列にする
  • 定期的に変更する

につきます。

ここで注意してほしいのは、「意味の無い文字列」と言うことです。私も長いパスワードを設定していたのですが、覚えやすいようにお店の名前などを入れていました。

ところが辞書攻撃というものがあるらしく、PETIT LAPINはアルファベットで言えば10文字ですが、辞書に乗っている単語にするとたったの2語になってしまいます。

このことがパスワードが破られる最大の要因だったと考えています。そして、パスワードの使いまわしにより、管理しているサイトが全てハッキングされると言う結末につながりました。

覚えきれないパスワードはご自身のパソコン上でテキストファイル等に保存して、コピペで使用するのがオススメです。ウェブ上のものはパソコンに、パソコンのものはウェブに保存すると安心です。

セキュリティソフトを理解して使う

ワードプレスはプラグインとしてセキュリティアプリを導入してガードをたかめることができます。

そして私もそうなのですが、これらのプラグインは大変精密で高度なため、設定方法がよくわからず、親切な方がネット上で紹介していただいている設定をマル写しする方も多いと思います。

今回はこの時に一箇所設定漏れがあった事が悪意ある人の侵入を許してしまう事になったと考えられます。どうして漏れてしまったかと自問しますと、やはり設定の意味をわからずに利用していたことが大きいと感じました。

ですので、とりあえず公開時にマル写しで設定したとしても、あとで時間のあるときにゆっくりと設定の意味を学んでください。

プチラパンのホームページを正常化するために実施した作業

ここからは、少し専門的な知識がいる内容ですので全くわからない方は専門の業者さんにお任せしましょう。自分でなんとかしたい方は参考程度にご覧ください。

  1. とにかく徹底的に現れた症状で検索して対策を考える。
  2. パスワードを変更してユーザー情報のページの「このユーザー以外を強制的にログアウト」ボタンを押す。
  3. データベースの全てのファイルをダウンロードしてテキストエディタなどで<script>の文字列で検索してでてきたスクリプトタグで囲まれた文字列で再検索する。この検索結果を全て削除(空白で置換)する。
  4. 明らかに不要なフォルダや拡張子をもつファイルを削除する。
  5. プラグインを導入(今回はWord Fenseを利用)してエラーをすべて削除する。
  6. 警告が出ているときはサーチコンソールから再審査を要求する。

幸いにも今回はこれらの作業で、自力で解決することができました。

プラグインでファイルを削除するときに必要なものまで削除してしまったようで、一部のテーマで表示が崩れてしまいました。

しかし、子テーマで運用していましたので、親テーマをごっそり入れ替えるだけで表示を戻すことができました。ですので子テーマでの運用を強くおすすめします。

一人で困った時は

中小企業庁が運営しているミラサポに専門家登録していますので、私でよければご相談ください。