セキュリティ
「うちは個人ブログだし、攻撃なんてされないだろう」
「アクセス数も少ないし、狙われる理由がない」
そう思っていると、思わぬ落とし穴があります。
最近では、攻撃者が人力で狙い撃ちするよりも、自動ボットが世界中のサイトを巡回して、弱い設定や古いプログラムを機械的に探すケースが増えています。
つまり、狙われる理由は知名度ではなく「入りやすさ」です。
※この記事については勉強会での基調な体験共有をもとにしています
本記事は、勉強会で共有された不正侵入の相談事例と、参加者同士の意見交換で出てきた知見を、個人やサイトが特定されない形に整理して紹介します。
同じトラブルを避けるための注意喚起が目的です。
実際に共有された「不正侵入」相談の概要
エックスサーバーで運用中の、WordPressとHTMLが混在するWebサイトで、身に覚えのない不審なファイルがサーバー内に複数見つかりました。
この状態は、サイト閲覧者に悪影響を与えたり、知らない間に被害を広げてしまう可能性があるため、早期発見と初動が重要です。
なぜ「WAFオフ放置」が危険なのか
WAFは、Webサイトへのアクセスを監視し、攻撃の可能性が高い通信をブロックする仕組みです。
勉強会でも強調されたのはここです。
-
WAFは重要だが、100%防御ではない(エックスサーバー公式にも明記)
-
だからこそ、WAFだけでなく、更新・ログイン対策・アクセス制限などを重ねるのが現実的
今回の共有事例では、WAFがOFFになっていたことが、リスクを大きく高めていた可能性がある、という整理になりました。
今すぐ確認:あなたのサイトを守る3つの基本(最優先順)
1. サーバーのWAF設定をONにする
エックスサーバーにはWAF設定があります。まずONになっているか確認してください。
なお、WAFはまれに誤検知を起こし、403などのエラー原因になることがあります。切り分けのために一時的にOFFにするのはありですが、解決したら必ずONに戻す運用が大切です。
2. WordPress本体・プラグイン・テーマを最新にする
更新が止まると、既知の弱点を突かれやすくなります。
更新前にバックアップ、更新後に表示・フォーム・ログインなどの動作確認までをセットにしてください。
使っていないプラグインやテーマは、無効化のまま置かず、削除まで行うのがおすすめです。
3. ユーザー名とパスワードを見直す
-
ユーザー名が admin のままになっていないか
-
推測されやすいパスワードや使い回しになっていないか
攻撃者は機械的に大量の組み合わせを試してきます。長くて複雑なパスワードに変更し、可能なら二段階認証も検討してください。
勉強会で出た追加の知見:もし被害が疑われたときの初動
ここは意見交換で特に重要だと確認されたポイントです。
-
まず封じ込めを優先する(公開を一時停止できるなら停止、管理画面やFTPなどの入口を守る)
-
すぐにパスワード変更(サーバーID/FTP/WordPress管理者など、関係するものを一気に)
-
バックアップから戻すだけで終わらせない
-
侵入原因が残っていると再発します
-
原因の除去(不審ファイルの排除、脆弱な箇所の更新・削除、入口の強化)を優先する
-
-
可能なら証拠(ログ等)の保全も意識する(あとで原因追跡や再発防止に役立つ)
勉強会で出た追加の知見:WAF以外も併用すると強い(エックスサーバー)
エックスサーバーには、WAF以外にもWordPress向けのセキュリティ設定があります。
たとえば「WordPressセキュリティ設定」では、国外IPアドレスからのアクセス制限などを提供しており、通常は有効のまま運用することが推奨されています。
サイトの運用実態(海外からの利用があるか等)に合わせて、使えるものは併用するのが堅実です。
最後に:セキュリティは「運用」です
Webサイトは作って終わりではありません。
車検のない車が危険なように、点検・更新が止まったサイトは事故(侵入)の確率が上がります。
「WAF」をONにし、更新を習慣化し、ログインとアクセス制限も重ねる。
これだけでも、不正侵入リスクは現実的に下げられます。
「自分のサイト大丈夫かな」と思った今が、対策のタイミングです。
チェックリスト(5分でできます)
目的は「今すぐ穴が空いていないか」を最短で確認することです。できればPCで実施してください。
まず最初に(30秒)
-
今この瞬間、WAFをOFFにしていないか(自分や制作会社が過去に切り分けでOFFにしたまま放置していないか)
エックスサーバー側(2分)
サーバーパネルで確認します。
-
WAF設定がONになっているか確認
-
OFFだったらONにする
-
直後にサイト表示とフォーム送信が問題ないかだけ確認(不具合が出たら「一時的に切り分け」→解決後は必ずONへ戻す運用に)
-
-
WordPressセキュリティ設定(利用中なら)を確認
-
国外アクセス制限など、運用に合うものがONになっているか(海外からアクセスが必要なサイトは無理にONにしない)
-
【メモ】ここは勉強会でも「最初に見る場所」として出てきたポイントです。サーバー側の守りが落ちていると、被害が出やすくなります。
WordPress管理画面側(2分)
WordPressの管理画面で確認します。
-
更新(アップデート)が溜まっていないか確認
-
WordPress本体
-
プラグイン
-
テーマ
-
いきなり全部更新が不安なら「まず現状確認」だけでもOK(後でまとめて対応)
-
-
使っていないプラグインが残っていないか確認
-
使っていないものがあれば「停止」だけでなく「削除」までを候補にする(勉強会でも重要ポイントとして出てきました)
-
ログイン周り(1分)
-
ユーザー一覧を見て、adminのような推測されやすいユーザー名が管理者権限で残っていないか確認
-
管理者アカウントのパスワードが弱くないか確認
-
短い
-
使い回し
-
辞書にある単語+数字
こういう場合は変更を優先
-
5分チェックで「怪しい」と感じたら(追加の初動メモ)
今回の勉強会の知見として、次を優先すると安全です。
-
公開停止やメンテナンス表示など、まず封じ込めを検討
-
サーバーID/FTP/WordPress管理者のパスワードを先に一気に変更
-
バックアップ復元だけで終わらせず、原因の除去(不審ファイル・脆弱な箇所の更新/削除)を優先
この記事を書いた遠田幹雄は中小企業診断士です
遠田幹雄は経営コンサルティング企業の株式会社ドモドモコーポレーション代表取締役。石川県かほく市に本社があり金沢市を中心とした北陸三県を主な活動エリアとする経営コンサルタントです。
小規模事業者や中小企業を対象として、経営戦略立案とその後の実行支援、商品開発、販路拡大、マーケティング、ブランド構築等に係る総合的なコンサルティング活動を展開しています。実際にはWEBマーケティングやIT系のご依頼が多いです。
民民での直接契約を中心としていますが、商工三団体などの支援機関が主催するセミナー講師を年間数十回担当したり、支援機関の専門家派遣や中小企業基盤整備機構の経営窓口相談に対応したりもしています。
保有資格:中小企業診断士、情報処理技術者など
会社概要およびプロフィールは株式会社ドモドモコーポレーションの会社案内にて紹介していますので興味ある方はご覧ください。
お問い合わせは電話ではなくお問い合わせフォームからメールにておねがいします。新規の電話番号からの電話は受信しないことにしていますのでご了承ください。
【反応していただけると喜びます(笑)】
記事内容が役にたったとか共感したとかで、なにか反応をしたいという場合はTwitterやフェイスブックなどのSNSで反応いただけるとうれしいです。
遠田幹雄が利用しているSNSは以下のとおりです。
facebook https://www.facebook.com/tohdamikio
ツイッター https://twitter.com/tohdamikio
LINE https://lin.ee/igN7saM
チャットワーク https://www.chatwork.com/tohda
また、投げ銭システムも用意しましたのでお気持ちがあればクレジット決済などでもお支払いいただけます。
※投げ銭はスクエアの「寄付」というシステムに変更しています(2025年1月6日)
※投げ銭は100円からOKです。シャレですので笑ってご支援いただけるとうれしいです(笑)
