WordPressのコンテンツが不正改ざんされたときの画像公開!見覚えあるなら今すぐ対処
久しぶりにWordPressのコンテンツ改ざんの現場に遭遇しました(汗)
いやー、クライアントさん、可哀そうです・・・。
WordPressの運用に長けているとは言えないからこそ、第三者に頼ったということなのですが、その頼った方もフタをあければ初心者レベルだったとかで、苦労して作り上げたサイトが台無しとなりました。
まあ、後からいろいろと言えることはあるのですが、こうした場合は、いったいどうすれば良いのかということについて、今回はシェアしたいと思います。
もくじ
WordPressは狙われる
そう思っておいてください。
幸いにも筆者が独自に運営しているブログは、一度の不正アクセスを受けてませんし、目をつけられて何度もログインを繰り返す攻撃も未経験です。
しかし、これはたまたま運が良い状態が続いただけと言えます。
いつでも不正アクセスのリスクは、サイトを公開している以上はあるので、セキュリティの最低限の知識と実践はやらなくてはなりません。
ましてやビジスネサイトが改ざんでもされようものなら、売上などにモロに影響しますから、めちゃくちゃ痛いです。
不正アクセスの実態
不正アクセスされたWordPressのコンテンツ、どうなるか知りたいですか?
実は、こんなことになってしまいます。
苦労して作り上げた転職系のサイトなのに、物販の広告が山盛りなのです。
もともとのサイトのページ数は30ページそこそこなのですが、不正アクセスでどうでもよいファイルを置かれてしまい、トータルで1万ページぐらいになっていました。
そのうち8割近くがインデックスされているのです。
これでは転職のコンテンツは消えたも同然。
アクセスは当然ないです、どんなに最強のSEOを施しても。
※そもそも最強のSEOなんて無いですけどね・・・。
不正アクセスの原因
意外とシンプルです。
- ログインIDとパスワードがシンプル
- WordPressを放置して更新せず
- プラグインを更新せず
- サーバー側でできるセキュリティをシカト
特に難しいことは求めていなくて、件のクライアントさんもログインIDとパスワードがシンプル過ぎたために起こってしまったのが真相となります。
不正アクセスを防ぐ
一番手っ取り早い方法は、ログインIDとパスワードを複雑化することです。
できれば、
- 英字
- 数字
- 記号
この3種類を組み合わせて、できるだけ長いIDとパスワードを作ってください。
覚えるのが難しいならば、ブラウザに記憶させるか、パスワード管理ツールを利用するという方法があります。
一旦、記憶させると、それ以降はログイン画面になれば、ピョッとIDとパスワードが自動入力されて、ログインボタンを押すだけのお仕事にすることができます。
筆者は、ぶっちゃけてこの方法しかやってないと言っても、過言ではありません。
あとは念のためにソースを見られないように、右クリック禁止にしてたりします。
不正ログイン対策
WordPressならプラグインを利用しましょう。
例えば、「SiteGuard」なら不正アクセスの痕跡を残せますし、かな入力を画像認証として使えるので、海外からのアクセスを防ぐには操作の観点からもおすすめです。
SiteGuard WP Plugin ? WordPress プラグイン | WordPress.org 日本語
まとめ
「WordPressのコンテンツが不正改ざんされたときの画像公開!見覚えあるなら今すぐ対処」というテーマで、不正アクセスの実態などについて言及しました。
不正ファイルを放り込まれてインデックスでもされたら、たまったものじゃありません。
目先の問題はクリアしても、検索エンジンにキャッシュが残っていたら、いくらSEO対策して意味がなくなるからです。
SEOはオワコンだなんて言ってる人もいるようですけど、ほんとうにそうかな?