先般、とあるお客様より問い合わせがありました。
突然なんですが、当社のWebサイトが、乗っ取られたのか何かで、サーバー業者から、停止措置が取られてしまいました。
なんとか、復旧できないものでしょうか。
WordPressのような著名なCMSは乗っ取られやすい!
ヘッドライン
WordPressが世界的に最も利用者の多いCMSツールだと思われますので、クラッカー(悪意のあるハッカー)からしてみれば、一番簡単にクラッキングが可能なソフトの一つでしょう。
たくさんの方が公開しているので、クラック方法が見つかれば一網打尽にできるからです。
こまめなアップデートに対応しましょう
自分のWordPressが乗っ取られないようにするために、こまめなアップデートを心がけましょう。
また、自分で設置したWordPressは、自分で管理しなければいけないのが普通です。もし、乗っ取られた場合にサーバー業者が停止措置を行うのも当然のことです。
乗っ取られたWordPressを復旧できますか?
先に答えを言うと、これは復旧できないことはないと思いますが、非常に危険です。
入れ直す方がいいでしょう。
どこに何を埋められたかわからない
実際、乗っ取られた場合、自分たちの見えない場所に何かを埋めていくことなんて当然のことです。
見た目を復元しても、見えない部分でヤバいツールが動いていないとも限りませんから。
バックアップの有用性
そこで、ピックアップされるのはバックアップです。
定期的にバックアップを取得してあれば、アタックを受ける前に復元することは不可能ではありません。
実際にあった!バックアップデータの復元で復旧したお話し
先のお問い合わせが舞い込んできました。
こちらで確認すると、WordPressが乗っ取られ、ほぼ中身を改ざんされていることが確認できました。
汚染率100%といったところです。
治せますか?との問い合わせに対しては『戻す自信は全くありません。というより、もはや、元が無いに等しい状態ですね。』としか、答えようがありませんでした。
しかし、今回のお客様は、運よく、といいますか、こういうことを想定していたのかどうかはわかりませんがすべてのサーバーデータのバックアップを定期的に取得しておられました。
なので、今回に関しては汚染される前のデータにすべて書き戻すことで汚染前に復元できました。
バックアップの重要性
バックアップはサーバーが故障した場合、速やかに別のサーバーで復旧することを目的に取得することが多いのですが、今回のようなケースにも有効です。
データが改ざんされてしまったのであれば改ざんされる前に戻してしまうことで、クリーンなサイトへ戻せます。
※ただし、改ざんに至るには何か問題があったわけですからその問題を同時に解決しないといけません。
WordPressの場合、この問題に至るケースはたくさんあります。
- コアアップデート
- プラグインアップデート
- テーマアップデート
- ユーザ(パスワード)
等です。
これらすべてアップデート、パスワードの変更、それ以外にもwp-config.phpへのアクセス権など、必要最低限以上を開かないように設定しないといけません。
今回のお客様の場合、たまたまPleskを利用されており、WordPressToolKitという、WordPressをPlesk上で管理できて、セキュリティ強化なども行えるツールが使えたのでこれを利用して必要なセキュリティ強化を行いました。
バックアップとアップデート・セキュリティ強化によって、WordPressは守られます
逆に言えば、アップデートやセキュリティ強化を行うことができない環境だった場合、クラッカーにのっとってくださいと言っているようなものです。
どんな方法を使ってもいいですので、最大限のセキュリティ強化を行ってください。
バックアップは最後の救済手段
バックアップが取られているから大丈夫という甘い考えは間違いです。
今回はたまたま、乗っ取られる前のデータに復元することで状態を正常に戻し、そのうえでセキュリティ強化を施すことができましたが毎々こんなにうまくいくとは限りません。
乗っ取られたのに気づかず、サイトの更新を進めていた場合、バックアップ復元はできないなどというケースも多々あります。
頻繁にバックアップを取るのならまだしも、バックアップなど、よくて1週間に1度程度だと思います。普通はフルバックアップは1か月に1度、そして、1週間に1度の定期バックアップなどというのが一般的です。
そうなると、その間にアタックを受けて、その間に大きく更新していた場合はその更新分はすべて消えます。
今回のお客様はこの1か月更新をしていなかったということだったので、事なきを得ましたが、もし、更新されていたら。。。と思うとゾッとします。
バックアップは最後の最後の手段です。
これに頼らず、常に進行できる状態を作るには普段からのセキュリティ意識が高くないといけません。
頻繁にログインしているサイトはハッキングされにくい?
ただログインしていればハッキングされないわけではありませんが、頻繁にログインしているサイトは放置されているものより、安全になります。なぜなら、
頻繁にログインしていれば、ログインした時にアップデートに気が行きますし、情報が更新されていればクラッカーも中々のっとりづらいものです。
また、また、乗っ取られそうになっても何かしらの兆候で気づくことができて、大きなトラブルに至る前に発見できて解決できることも結構多いです。
今回は脆弱性?
今回のお客様は、最初にクラッカーにログインされた形跡もなく、WEBコンテンツファイルが更新されていました。
しかし、同じFTPユーザでも、別のサイト(WordPressではないサイト)はアタックを受けておらなかった関係から、FTPユーザの漏えいではなく、どう見てもWordPressによるアタックっぽかったです。しかし、ログインされていないことからも、ユーザの乗っ取りというより、脆弱性を付かれてのファイルの改ざんのように見えました。
ようは、頻繁にアップデートをかけて、必要最低限のセキュリティ対策を施していれば大きな問題にならなかった可能性が高そうでした。
また、せっかくWordPressToolKitが無料で使えるPleskを利用しているのに、使っていないのももったいないので、使い方の説明を行いました。
そして最後に、今回バックアップから復元できたことで大きな問題にならずに済んだわけですので、バックアップの取得、過去のバックアップデータをどのくらいの期間残すかなど、バックアップ運用についてもいろいろお話しさせてもらいました。
次はないかも?ですので、運用には気を付けないといけないですね。
