WordPressで作った自社サイトが改ざんされた!その対処法と予防策

ここ数年、WordPressはCMSのシェアの上位をキープし続けています。そのためユーザーが多く仲間を見つけやすいというメリットがありますが、オープンソースであること、PHPとデータベースを使う動的サイトであることなどが理由で、ハッキングの被害に遭いやすいのも事実です。もし自社サイトが改ざんされてしまったら、どのように原因究明しリカバリーすればいいのか、その対処法と、改ざん被害に遭わないための予防策を解説します。

WordPressはハッキング被害に遭いやすい?

企業がWebサイトを制作する場合、セキュリティは非常に重要です。セキュリティ対策は売り上げにつながるような前向きな投資ではないため軽視してしまうケースもあるようですが、対策を怠ると深刻な被害に発展することがあります。インターネットを検索するとさまざまなハッキング被害が報告されています。特にWordPressを使ったサイトでは以下のような被害が増えています。

ページが書き換えられてしまう

いたずらのようなテキストの書き換えからテロ組織による画像差し替えまで、さまざまな被害が報告されています。また、ページに勝手に広告を埋め込まれるといった被害もあります。

迷惑メールの踏み台にされる

不正なプログラムを設置され、自社サイトのドメインから知らないうちに大量の迷惑メールが送られるという例もあります。この場合、サーバー会社からサイトを止められてしまうこともあります。

サイトにウイルスを埋め込まれる

自社サイトにウイルスを埋め込まれ、閲覧した第三者が感染してしまうという例もあります。この場合、自社は被害者であるだけでなく、加害者にもなってしまいます。

フィッシングサイトや変なサイトに飛ばされる

自社サイトにアクセスしたはずなのに、数秒で別のサイトに飛ばされてしまう例も増えています。これを、リダイレクトといいます。利用者をフィッシングサイトに誘導する本当に悪質なものもあれば、広告収入目当てでいくつものサイトに次々飛ばされるというケースもあります。

このような被害に遭うのは、誰かが会社に恨みを持っているからでも顧客トラブルを抱えているからでもありません。攻撃者はインターネット上のWebサイトを手当たり次第に調べて、セキュリティ対策の甘いサイトを見つけると攻撃するのです。つまり、Webサイトにセキュリティ対策を施すことは、顧客に丁寧に対応するのと同じくらい基本的で重要なことなのです。

フィッシングサイトは、本来の企業サイトそっくりに作ってIDとパスワードを入力させ、その情報を使って不正利用するといった事例もあり、悪質さが増しています。

一方、複数サイトにリダイレクトされるケースも、重大な問題があります。なぜなら、検索結果に影響することがあるからです。

Googleは検索結果を最適化するために常に監視しています。そのため、Webサイトから不正なリダイレクトが発生していれば検索結果に「このサイトは第三者によってハッキングされている可能性があります」と表示し、管理者に警告してきます。このため、自社サイトが改ざんされたことに、Googleからの通知メールで気づくということもあります。Yahoo!でも、同様の対応をしています。放置すれば当然検索結果も下がるので、コンテンツを工夫するといったことをして必死にSEO対策をしていても、ハッキングされたら水の泡ということです。

ハッキングされた場合の復旧方法

ハッキングされた場合の復旧方法の概要を簡単に説明しますが、対処を間違うと事態を悪化させてしまう危険性もありますので、技術的に不安がある場合は迷わず専門家に相談しましょう。

(1)ハッキングかどうか確認する

検索エンジンやサーバー会社、利用者から通報があった場合は、本当にハッキングされたかどうか、自社サイトにアクセスして確認しましょう。対処が遅れないように、自社サイトには毎日アクセスして確認する習慣をつけておくことをおすすめします。

(2)原因を突き止める

ソースコードを見て、異常動作の原因を探します。このときに要注意なのは、「作成した覚えのないファイル」「入れた覚えのないscript」「怪しいプラグイン」です。管理画面から、これらがないかチェックしましょう。リダイレクト被害の場合は、十中八九入れた覚えのないscriptが存在し、別サイトへの転送を行っています。

WordPressのプラグインには、ハッキングの原因を調べてくれるものもありますので、利用するといいでしょう。また、外部からWebサイトをスキャンして不正なコードがないかチェックするサービスもあります。

(3)改ざん部分を修正

原因となる改ざん部分が特定できたら、それを修正します。1、2ヶ所程度なら管理画面から書き換えても構いませんが、大量のサイトにリダイレクトされているといったように改ざん部分が多い場合は、データベースから一括修正するのがお勧めです。

(4)再発防止策を講じる

修正が終わったら、以下のような再発防止策を講じておきましょう。

  • パスワード変更
    不正アクセスされてしまったパスワードは変更しましょう。また、複数のサイトやサービスで同じパスワードを使い回さないように注意するのも重要です。
  • WordPressをアップデート
    WordPress自体や利用しているプラグインが古いと、脆弱(ぜいじゃく)性が残っている可能性があります。最新の状態にアップデートしましょう。
  • セキュリティプラグイン導入
    もし導入していなかったなら、セキュリティ対策のプラグインを導入します。
  • PCのウイルスチェック
    管理用のPC自体がウイルス感染していたら、またハッキング被害に遭う恐れがあるので、ウイルスチェックをしておきましょう。PCにウイルス対策ソフトが入っているかどうかも確認しましょう。

(5)Googleに再審査を申請

修正と対策が終わったら、Googleに再審査を申請します。承認されれば、検索結果の「このサイトは第三者によってハッキングされている可能性があります」という表示は消してもらえます。

その他の対策方法

改ざんされたWebサイトが復旧できたら、ほかのセキュリティ対策も検討してみましょう。

静的サイトとして運用する

WordPressの脆弱(ぜいじゃく)性における最大の原因が、動的サイトであるという点です。そこで、静的サイトとして運用するという対策があります。WordPressをやめて静的サイトに作り直すというのが抜本的な対策ですが、WordPressのサイトを静的サイトにするプラグインもあります。

バックアップを取っておく

ハッキング被害に遭ったとき、元の状態が分からないと復旧に時間がかかってしまいますので、日ごろの運用としてバックアップを取っておくことは重要です。

WAF(Web Application Firewall)を導入する

WAFとは、Webサーバーの手前に配置して通信を解析し、外部の攻撃からWebサイトを守るセキュリティ対策です。Webサイト自体にセキュリティ上の問題があっても無害化できるのが特長で、クラウド型のWAFであれば導入の難しさやコストの面での課題もクリアできます。

WAFや改ざん検知サービスの導入も効果的

WordPressは利用者の多い人気のCMSですが、オープンソースであることや動的サイトであることなど、脆弱(ぜいじゃく)性につながりやすい特徴もあります。このため、セキュリティ対策を怠ると、Webサイト改ざんの被害に遭いやすく、注意が必要です。サイト改ざんが疑われるときは、チェック用のプラグインやスキャニングサービスを使って原因を特定し、復旧しましょう。定期的にバックアップを取っておくことも重要です。また、WAFの導入や、改ざんチェックサービスの利用もおすすめです。