サイトの運用にはセキュリティの管理が必要不可欠です。ログインに二段階認証を導入する、セキュリティ用のソフトをインストールするなど被害を予防するための方法ばかりが注目されがちですが、問題が発生した際に効率的な対処を行うための準備をしておくのも重要なセキュリティ対策の一つです。
この記事では、WordPressで制作したサイトがハッキングなどの被害を受けたときのサイト復旧の手段と、攻撃を防ぐための基本的な対策をお伝えします。
サイバー攻撃を受けたらサイト復旧は必須
一口にサイバー攻撃といっても悪質さや被害の範囲は場合によって異なり、被害発生後の対処によって被害の程度が大きく変わることもあります。不正アクセスを受けた段階で対策を行えば被害をかなり抑えることができますが、異変が起きたサイトを復旧せず放置すると被害が拡大してしまいます。
「セキュリティの警告が出ているけれど、何が起きているか分からないし実害は出ていないように見えるから放置する」は一番NGなパターンです。一度サイバー攻撃に遭ったサイトは復旧せず放置しておくと次の攻撃の発信源となってしまい、ユーザーや取引先などにも影響を与える可能性も十分に考えられます。
サイトや企業自体の信用度にも関わるので、サイトを運用していく上ではセキュリティ対策と並行して何かあった時の復旧方法の構築が必須です。
WordPressサイト復旧の方法・手順
サイト復旧の方法は問題が発生した原因によって異なることがありますが、今回は当社のエンジニアが実際にWordPressのサイト復旧を行った事例を参考に手順をご紹介します。
①サイトをクローズして原因を分析
被害が外部に広がるのを防ぐためにサイトをメンテナンス状態にします。
当社の事例では、WordPressで制作した該当サイトにアクセスすると外部のスパムサイトへ誘導される仕様に改ざんされていました。サイトをクローズしてから分析してみると、バージョンが古いまま放置された状態だったことが分かりました。その脆弱性を突かれたことが原因であることを把握したうえで、どこのファイルに原因があるか特定し修正する作業に入ります。
②WordPressをインストールし直す
改ざん被害が起こった場合はWordPress内部のコアファイルまで書き換えられている可能性が高く、原因を特定するのは困難です。
コアファイルの内容はどんなサイトであっても大差ありません。そのため、一つ一つ原因を探さずに、全データを取得してから最新版のWordPressをクリーンインストールするのが一般的です。
再インストールすることで、WordPressのコアファイルを問題が起こる前の状態に戻すことができます。
③データの問題を解決して再アップ
データに問題があった場合は原因となっているファイルを削除して、再度上げ直します。
復旧後のサイトに問題がなければこれで作業は完了です。古いバージョンを最新版にアップデートした状態で、攻撃を受けたサイトを回復させることができます。
【復旧対策と併せて】WordPress版セキュリティ対策チェックリスト
問題が起きた後の対処法と問題が起こる前の対策は、片方ではなくどちらも並行して行うことで効果を発揮します。
以下の事項を参考に、自社サイトのセキュリティが万全かしっかりとチェックしておきましょう。
WordPress本体・テーマ・プラグインを更新
WordPressは古いバージョンへの障害対応が早くに終了してしまうため、旧バージョンのまま放置されたテーマやプラグインの脆弱性を突いたサイバー攻撃が非常に多いです。
WordPress本体・テーマ・プラグインは全てこまめに更新し、使っていない機能は「無効化」ではなく削除するのが基本です。
特に細かい障害に対応して出されることが多いマイナーアップデートは自動更新設定を切らずに常に最新の状態を保てるようにしてください。
セキュリティ用プラグインを導入
WordPressにはサイトのセキュリティを向上させるためのプラグインがいくつか存在します。
ログインを二段階認証にしたり、不正ログインを検知したりといった機能を追加することができるので、必ず一つはセキュリティ用プラグインを導入しておきましょう。
詳しくは「【プロが教える】WordPressテーマ選びのコツをセキュリティ面から解説」をご覧ください。
管理画面のログイン設定
基本的なことですが、ログイン設定をきちんと行うことも重要です。よくありがちなのは「ログインID、パスワードをドメイン名と同じものに設定している」パターンでしょう。
忘れないように分かりやすい文字列を使いたくなるかもしれませんが、容易すぎるものは解析されやすく不正アクセスを招く要因になってしまいます。前述した二段階認証の設定なども含め、管理画面のログイン設定はデフォルトのままではなくしっかり対策しておくようにしましょう。
バックアップの取得
サイト復旧時にバックアップのデータがあれば比較的簡単に復旧できます。
障害発生時に備えて、定期的なバックアップができるよう設定してください。
WordPress保守サービスならサイト復旧にも対応
専門的な知識のない人が自力でサイト復旧を行うのは困難です。もし自社で万が一の事態に備えた対策ができていないと感じているようなら、保守サービスを導入してみてはいかがでしょうか。
プラグインの管理やバックアップの取得などの基本的なセキュリティ対策はもちろん、攻撃を受けた際の復旧もプロの力に頼ることができます。当社のWordPress保守サービスは月額3万円~、1日あたり約1,000円程度で経験豊富なプロのエンジニアがサイト運用におけるリスクマネジメントを代行いたします。
また、保守だけでなくゼロからのサイト制作やSEO検索流入を増やすコンテンツ作成も対応しております。
まとめ
WordPressのサイトがサイバー攻撃を受けた場合は、放置せず被害を最小限に抑えるための対処をしっかり行うことが重要です。
どんなにセキュリティ対策を行っていたとしても、攻撃に遭うリスクをゼロにすることはできません。基本的な対策を行いつつ、障害発生時の対応方法も社内で共有してすみやかにサイト復旧を行える体制を作っておくことが大切です。
自社サイトのセキュリティに不安がある企業でも安心してサイトを運営できるよう、セキュリティ管理のプロが徹底的にサポートします。
当社の保守サービスではバックアップやアップデートの管理からメールサポートでの疑問解消まで、WordPressの運用・管理をあらゆる角度から支援します。
オプションでサーバー保守・障害時の復旧まで承りますので、まずはお問い合わせください。
