voiceblog イクコラボWordPressを語る③ ハッキングは本当に起きる件

IKUKO Labo
voiceblog イクコラボWordPressを語る③ ハッキングは本当に起きる件
/

信じられないかもしれないけど、ハッキング被害って弱小放置サイトでも起きるのです。
世界でいちばん使われている便利なWordPressは、利用者が多いぶんだけ悪者に狙われることも多いのです。
だからWordPressの開発者たちは、セキュリティホールが見つかったら即、それを修正した最新バージョンを配信してくれていて、


それがアップデートです。正確にはセキュリティに関係ないアップデート(機能を追加するなど)もあるのですべてがセキュリティ関係ではありませんが、私たち素人としては、アップデートが通知が来たらすぐにやる!が鉄則です。

ところが、そういうことを怠って、古いままで放置すると、かなりの確率でハッキング被害に遭います。

かなりの確率です。

私の場合、ほんとうにうっかり半年くらい放置したWordPressがハッキング被害にあいました。2012年くらいの話。

2回目は2019年。つい最近の出来事で、グループで運営していたサイトで起きました。WordPressの運営を担当の人にまかせて放置していたところ、その人がなにかのテストのために入れた(と思われる)大量のプラグインをやはりアップデートせずに放置していたせいで、いずれかのプラグインの脆弱性を突かれたと思われる原因でハッキング被害にあいました。

※プラグインは公式サイトに登録されているものなら自動アップデートができますが、そうじゃないものについてはアップデートの通知が来ない場合があるので、危険度はさらに高まります。

2回目のときは、当該サイトだけでなく、同じサーバーに置いてあった仕事関係のサイトも含めてすべて汚染されてしまい、全部削除して、すべて新規インストールから再構築ということになりました。あまり詳しくは言えませんが、データベースだけ古い(汚染の可能性がある)ものをそのまま使って再公開し、あとはWordPressのプラグインを使って汚染されたファイルを消す作業を毎日朝・昼・晩と続けることになりました。

運良く、その方法でなんとか汚染ファイルは除去できたのでよかったですが、こういう便利なプラグインがなかったショップ用のEC-CUBEは、復旧をあきらめることになりました。それから2年くらいたちますが、依然、元通りに復旧はできていません。

ハッキングは、WordPressから浸入された場合でも、いったん浸入されたらWordPress関係なくすべてのディレクトリに悪意あるプログラムを設置されてしまいますので、非常にやっかいです。

私の場合、自分で運営している自分のサイトだったので、自己責任でいろいろ試しましたが、これ、お客さんのサイトだったら、どうだったでしょう。
汚染除去はもちろん専門業者に依頼ですが、サイトの復旧はどうするのか。その費用はどうするのか。そのとき、私が引き受けなかったらそのサイトはどうなるのだろうかと、考え始めると「無理無理無理」って感じです。

管理費をいただく場合はあらかじめ、ハッキング被害の場合は、どうするのか、想定した上で契約しないとたいへんなことになりそう。でも、これから新しいサイトを作ろうというときに、ハッキング被害にあった場合の話からしてくのって、まるで、やりたくないから暗に断ってるのと同じ感じになりかねず。

それで現在、新規サイトのWordPressでの制作は、どうしてもお引き受けできないモードの私なのです。