脆弱性を突かれ不正アクセスされた経験から学んだやっておきたい7つの対策

当ページのリンクには広告が含まれています。

少し前に古いWordPressのバージョンに脆弱性が確認されたということで、「最新バージョンにバージョンアップしておきましょう!」とカッコよく情報発信しておきながら、

やっちまいました…

涙ながらに不正アクセスされた原因と被害状況、そして7つの対策について赤裸々にお伝えしましょう..。

この涙の体験談をぜひ生かしてください!

なぜ不正アクセスがわかったか?

あるとき、
「未来派さんの●●●サイトが 403エラーで見れないんですけど」
というメールをいただきました。

アクセスしてみると確かに403エラー状態。

いろいろ調べてみたのですが、原因がわからなかったので、エックスサーバーに問い合わせてみると「.htaccess」のパーミッションと内容が書き換えられているので修正が必要とのこと。


ガーーーーーーン(;´Д`A “`

そして追い打ちをかけるようなエックスサーバーからの通知です。

ご利用のWebサイトに不正なプログラムが設置され、不正アクセスが発生している可能性がございます。

当サポートにて詳細をお調べすることは可能ですが、お客様のサーバーアカウントにおけるファイル・データなどを調査してもよろしいでしょうか。

お客様より許可をいただけましたら、状況を調査いたしまして、結果を報告いたします。

ただ、仮にファイルの改ざんなどの不正アクセスが発覚した場合、他のユーザー様への悪影響が懸念されるため、対象アカウントに対しWebアクセス制限を実施する可能性がございます。


2度目のガーーーーーーン(;´Д`A “`

というわけで、エックスサーバーの詳細調査委を依頼しました…。

恐る恐る調査結果を見てみると..

依頼した次の日に、エックスサーバーカスタマイズサポートから調査結果のメールが届きました。

お客様からの調査依頼を基に調査いたしましたところ、お客様のサーバーアカウントにおいて、以下の不正なプロセスが稼働しておりました。

▼稼働していた不正なプロセス
/public html/lock666.php

※該当プロセスにより.htaccess改竄等が行われたと推測されます。

これを受け、当サポートにてセキュリティ調査を行いましたところ、お客様がご利用のプログラムにセキュリティ上致命的なバグ(脆弱性)が存在し、当該脆弱性を第三者に悪用されてしまった可能性が非常に高い状況でございました。


3度目のガーーーーーーン(;´Д`A “`

調査結果を読んで、目の前が真っ暗になりましたよ…

不正プロセスを退治した作業

こちらがエックスサーバーからの指示です。

検出されているすべてのファイルの完全削除または、該当ドメイン名を「初期化」してください。

削除すべきファイルの一覧がテキストで添付されてたのですが…


ファイル数500個超え?!!(;´Д`A “`

エックスサーバーのファイルマネージャーを使い、2日かけて涙目で削除しました。

これだけじゃありません。

『パス:/ドメイン/public_html』配下の「.htaccess」ファイルのパーミッション値を【644】に修正しあわせて、下記の記述を削除してアクセスが可能となるかご確認ください。


配下の「.htaccess」ってたくさんあるし、
記述の削除って手間が半端ないな.(;´Д`A “`

いや~この地味な作業も精神的にやられましたね…

不正アクセスの根本原因

プログラム(WordPress等)の管理パスワードが流出し、第三者に不正ログインされた。
セキュリティ上問題のある致命的なバグ(脆弱性)が存在し、第三者に脆弱性を利用された。
サーバーアカウントに関するFTP情報が流出し、第三者に不正にFTP接続をされた。

不審なFTPアクセスが見られないということなので、【2】の脆弱性を突かれた可能性が高いかなと予想しています。

不正アクセスを防ぐ7つの対策

対策1:セキュリティソフトの更新

セキュリティソフトを最新版に更新し、ウイルスチェックと駆除を行いましょう。

合わせてWindows UpdateやAdobe Reader・Flash PlayerなどのPC端末にインストールされているソフトウェアも最新版へ更新しておきましょう。

対策2:WordPressを最新バージョンにする

WordPressのバージョン3.7から5.7.1にかけての全てのバージョンに影響のある脆弱性が確認されています。

古いバージョンのWordPressを使っている方は、最新版にバージョンアップしましょう。

対策3:WordPressのパスワード変更

パスワード総当り(ブルートフォースアタック)による攻撃や、運用中のプログラムに脆弱性が存在し、該当脆弱性を悪用される可能性があります。管理パスワードは必ず変更しておきましょう。

また合わせてWordPressのログインURLを変更することをおすすめします。WordPressプラグイン「WPS Hide login」を使えば、簡単にログインURLを変更できます。

【WPS Hide login】ログインURLを変更して不正ログインに備えましょう
WordPress利用者は世界中に多くいますが、ここ最近脆弱性を突いた不正アクセスやパスワード総当り(ブルートフォースアタック)による攻撃などの被害に遭ったというニュースを多く見ま
2021-08-11 18:36

対策4:FTPのパスワード変更

サーバーアカウントに関するFTP情報が流出し、第三者に不正にFTP接続をされた可能性があります。FTP操作自体によるファイル改ざんはもとより、任意のプログラムを設置することでどんな操作でも実行できてしまいます。

FTPのパスワードを変更しておきましょう。

またWindows専用の無料で使えるFTPソフト「FFFTP」を使っている方は「マスターパスワード」を設定しておきましょう。

対策5:プラグインを最新バージョンにする

古いプラグインも脆弱性がある可能性があるので最新バージョンにしておきましょう。また、最新バージョンのWordPressに対応していないプラグインは要チェックです。

対策6:WAF設定を有効化にする

WAFは、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護することが可能です。

不正アクセスからサイトを保護し、WordPressなどのWebアプリケーションの安全性を向上することができます。

WAF設定方法(エックスサーバー)

対策7:WordPressセキュリティ設定をする

エックスサーバーには、WordPressセキュリティ設定として

  • 国外IPアクセス制限設定
  • ログイン試行回数制限設定
  • コメント・トラックバック制限設定
を設定できます。

国外IPアクセス制限設定は、国外IPアドレスからのアクセスを制限することで、不正なログインやDDoS攻撃の踏み台となることを防ぐことができます。

エックスサーバー以外のサーバーでもセキュリティー設定機能があるので一度チェックしてみてください。

WordPressセキュリティ設定方法

最後に未来派の言い訳

最後に未来派の言い訳を聞いてください..。

実は…

今年の正月にいらないサイトをピックアップしてドメインの断捨離をしたんです。使わなくなるドメインは、ドメイン登録サービスで「自動更新」を停止します。これで更新日に更新されないのでドメインは自動的に消滅します。

ここにポッカリと落とし穴がありました…。

更新日までは、サイトは生きているんですよね。

狙われたWordPressサイトはまさしく使わなくなったドメインのひとつでした。もうじき消滅するサイトなのでWordPress・プラグインなどの更新もまったくしてませんでした。

ですので、使わないドメインは、サーバー内でデーターをすべて削除しておくことをおすすめします。

エックスサーバーでは、X20とX10のアカウントを持っていたのですが、唯一救われたのは、サイト数が少ないX10で被害にあったことでした。

X20で被害に遭っていたら復旧作業は10倍になっていたことでしょう。

以上、不正アクセスされた未来派の赤裸々体験談のお話でした。

あなたが不正アクセスされないよう、今回の未来派の失敗を踏み台にして、しっかりと対策していただければと思います。

この機会にセキュリティー対策を強化しましょう!

追伸:プラグイン「iThemes Security」をインストールすべし

この記事をアップした後、知人のアフィリエイター4名が不正アクセスを受けたという報告がありました。脆弱性を突いてひとつのサイトに入り込むと、そのサーバー内のすべてのサイトに拡散してしまうので困ったものです。

その後、いろいろ調べたところアメリカではポピュラーになっているWordPressセキュリティープラグイン「iThemes Security」が、かなり有効ということです。有料版もありますが、無料版でも十分なセキュリティー効果を発揮してくれます。

「iThemes Security」は機能が多いので設定がちょっと面倒なのですが、LiteracyBoxes運営のKENさんがわかりやすく設定方法を解説してくれています。

WordPressセキュリティープラグイン「iThemes Security」でセキュリティーはかなり高まりますが、記事内の7つの対策もしっかり継続して実施することをおすすめします。

「iThemes Security」インストールは必須だぜ!

よく読まれている関連記事

Classic Widgets
【Classic Widgets】旧ウィジェット形式変換プラグインの使い方
WordPress5.8が7月20日にリリースされました。5.8では「WebP対応」「テンプレートエディター」など新機能が追加されましたが、中でも注目は「ブロックウィジェット」です
2021-07-21 16:55
Danganページビルダーの詳しいレビュー
【エックスサーバー高速化対策】ブラウザキャッシュ設定・Xアクセラレータの設定方法
アフィリエイトをしている方で人気があるレンタルサーバーのひとつに「エックスサーバー」があります。 自分も複数のレンタルサーバーを使っていますが、使いやすさと機能の充実度では「
2018-09-15 18:47

この記事が気に入ったら
いいね ! しよう

この記事を書いた人

コメントを残す

最新の記事