2025年3月4日
当社の客先がハッキング被害にあってしまいました(^▽^;)
どんな被害かというと、WordPressに不正ログインされホームページが改ざんされ大量のページが作られてしまうというものでした。
お客様のレンタルサーバーは、エックスサーバーを利用しておりましたので、エックスサーバーにメールすると「WordPressにログインされプラグインをインストールするなどの不正な操作が行われたようでございます。」との返信がありました。ログインされたWordPressは、当社でインストールしたものではなく、客先がインストールしたWordPressでしたが、当社で作ったWordPressも改ざんされてしまいました。
不正アクセスの原因
不正アクセスの原因としてエックスサーバーより指摘されたのは下記の通りです。
- WordPressの管理パスワードが流出し、第三者に不正ログインされた。
- セキュリティ上問題のある致命的なバグ(脆弱性)が存在し、第三者に脆弱性を利用された。
- 第三者に不正にFTP接続をされた。
エックスサーバーの見解は、「プログラム(WordPress等)の管理パスワードが流出しプログラムを悪用されたかお客様が運用中のプログラムの脆弱性を悪用されてしまった可能性が高いものと思われます。」でした。
お客様に確認してみたところ、WordPressやプラグインの更新を行っておらず放置されていたため不正ログインされたと思われます。当社の毎月更新契約している客先では、頻繁にチェックしているので、このような事態になる可能性は低いと思われますが、制作のみのお客様も多くあり、更新作業はお客様まかせとならざるを得ません。また、お客様が新たにWordPressをインストールする際には、単純なパスワードを設定せずセキュリティを強化するプラグインをインストールする必要があると思います。
対応策
- 使用しているパソコンをセキュリティソフトでウイルスチェック及び駆除
- Windows UpdateやAdobe Reader、Flash Player等最新版へ更新
- エックスサーバーより送られた不正プログラムと思われるファイル一覧に記載されているすべてのファイルの削除(本件は73件のPHP、png、css等がありました)
- ドメインの初期化
- 管理パスワードの変更
制作のみのお客様におかれましては、必ず下記「エックスサーバーでの作業」を実施して下さい。エックスサーバー以外のお客様は、お問い合わせ下さい。よろしくお願い致します。
エックスサーバーでの作業
(1)WAF設定
WAF(Web Application Firewall)とは、Webアプリケーションをサイバー攻撃から守るためのセキュリティツールです。レンタルサーバーのWAF設定は、主に以下の機能を提供します。
- サイバー攻撃の防御: SQLインジェクションやクロスサイトスクリプティング(XSS)などの一般的なサイバー攻撃を防ぎます。
- 検知ログの管理: 不正アクセスやサイバー攻撃の履歴を記録し、管理することができます。
- 特定アクセスの制限: ブラックリスト機能を使用して、特定のIPアドレスからの通信を遮断することができます。
エックスサーバーでの手順は以下の通りです。
-
【(1)-1 エックスサーバーにログイン】
右上の「ログイン」をクリックすると表示される「サーバーパネル」をクリックしエックスサーバーにログインします。
-
【(1)-2 サーバーパネルにログイン】
XServerアカウントIDとパスワードを入力し「ログインする」をクリックします。
-
【(1)-3 設定対象ドメインの選択】
エックスサーバーのドメイン「×××.xsrv.jp」と独自ドメイン「×××.jp/×××.com」が表示されるので先ずは1段目を選択し「設定する」をクリックします。
-
【(1)-4 WAFを選択】
WAFを選択しクリックします。
-
【(1)-5 WAFをON】
変更の欄をONに設定し「確認画面へ進む」をクリックします。
-
【(1)-6 WAFを設定】
「設定する」をクリックします。
-
【(1)-7 戻るをクリック】
「戻る」をクリックします。
-
【(1)-8 反映待ち】
状態が「反映待ち」となるので待ちます。(最大1時間)
-
【(1)-9 完了】
状態が「ON」となっていて「反映待ち」が消えていると完了です。
(2)「WordPressセキュリティ設定」の全機能を有効化
-
【(2)-1 WordPressセキュリティ設定】
(1)-4に戻るか、サイドメニューより「WordPressセキュリティ設定」をクリックします。
-
【(2)-2 国外アクセス制限設定】
国外アクセス制限設定の「現在の設定」が「ON」になっているか確認して下さい。
-
【(2)-3 ログイン試行回数制限設定】
ログイン試行回数制限設定の「現在の設定」が「ON」になっているか確認して下さい。
-
【(2)-4 コメント・トラックバック制限設定】
コメント・トラックバック制限設定の「現在の設定」が「OFF」になっていたら「ON」をクリックし「設定する」をクリックして下さい。
-
【(2)-5 コメント・トラックバック制限設定完了】
コメント・トラックバック制限設定が完了したら「戻る」をクリックして下さい。
-
【(2)-6 コメント・トラックバック制限設定確認】
コメント・トラックバック制限設定の「現在の設定」が「ON」になっている事を確認して下さい。以上で作業は完了です。
エックスサーバーの「WordPressセキュリティ設定」マニュアル
さくらインターネットの「国外IPアドレスフィルター」マニュアル
(3)PHPのアップデート
「このサイトは、すでにサポートが終了している古いバージョンの PHP を実行しており、AIOSEOで問題が発生する可能性があります。ウェブホスティングサービスに連絡して PHP バージョンを更新するか、推奨の WordPress ホスティング会社に切り替えてください。
注: PHP 7.2.34のサポートは2025に終了する予定です。それ以降、追加のアクションを取らない場合、AIOSEO の機能は無効になります。詳しい情報をご確認ください。」
WordPressにログインした際に、上記の表示があった場合、若しくはWordPressの管理画面の「サイトヘルス」に下記の表示があった場合PHPのアップデートが必要となります。
-
【(3)-1 エックスサーバーにログイン】
右上の「ログイン」をクリックすると表示される「サーバーパネル」をクリックしエックスサーバーにログインします。
-
【(3)-2 サーバーパネルにログイン】
XServerアカウントIDとパスワードを入力し「ログインする」をクリックします。
-
【(3)-3 設定対象ドメインの選択】
エックスサーバーのドメイン「×××.xsrv.jp」と独自ドメイン「×××.jp/×××.com」が表示されるので先ずは1段目を選択し「設定する」をクリックします。
-
【(3)-4 「PHP Ver.切替」をクリック】
「PHP Ver.切替」をクリック
-
【(3)-5 バージョンを選択】
バージョンを選択
-
【(3)-6 推奨バージョンを選択】
PHP8.2.22等推奨バージョンを選択し「変更」をクリック
さくらインターネットの「PHPのバージョンを変更」マニュアル
(4)MySQL
サイトヘルスに上記「古いデータベースサーバー」と表示されている場合、「パフォーマンス」右の矢印をクリックすると「SQL サーバーは、WordPress がサイトのコンテンツや設定を保存する際に使用するデータベースとして必要なソフトウェアです。
最適なパフォーマンスとセキュリティのため MySQL バージョン 8.0 以上の使用を検討してください。ホスティング会社に相談して修正してください。」と表示されます。
WordPressの必須条件は「MySQL バージョン 8.0 以上または MariaDB バージョン 10.5 以上。」となっていますが、2025年3月現在、エックスサーバーのMySQLはバージョン 5.7が最新版なので「古いデータベースサーバー」と表示されていても無視して問題ありません。