• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
  • Skip to footer

ハイファイブクリエイト

東京都を拠点にしたWebサイト制作。WordPress構築やシステム構築、ウェブコンサルティング

  • SERVICE
  • ABOUT
  • WORKS
  • BLOG
  • NEWS
  • CONTACT
ホーム / ブログ / WordPress / WordPressのアップデートやセキュリティ対策をしなかったことで実際に起きた事件

WordPressのアップデートやセキュリティ対策をしなかったことで実際に起きた事件

池田祐太郎 | 2018年6月11日 公開

WordPressのアップデートをしないことによる記事を以前書きました。

WordPressのアップデートをしないとどうなる?

今回は、WordPressのアップデートをしないまま使い続けたことや、セキュリティ対策を行わなったために実際に起こってしまった事例をご紹介します。

目次

  • 1 数百件のコンテンツが消えた事例
  • 2 WordPressコアのアップデートをすると崩れてしまう事例
  • 3 勝手にメールを1日に8000通送信されてしまった事例
  • 4 数万件のスパムコメントがついてしまった事例
  • 5 WordPressは必ず最新版に!できれば検証用のサイトを
    • 5.1 アップデートすると表示が崩れたり、サイトにアクセスできなくなるから怖い

数百件のコンテンツが消えた事例

WordPressで初期発行されるユーザーアカウントである「admin」を変更せずサイト公開後も使い続けてしまったため起きた問題です。

ユーザー投稿型サイトを運営している会社のサイトがあり、保守管理等は行わずにデザインリニューアルのみを請け負っていました。リニューアル後のある日、ユーザーが投稿した600-700件程あったコンテンツが100件以下に消えていると連絡がありました。ログを確認したところ、管理画面にログイン成功し、ユーザー投稿のコンテンツを削除している形跡がありました。

元々作成されたWordPressからアカウント名は変えず、パスワードも初期設定のままということだったため、まずは管理者アカウント別途作成し、元あった管理者アカウントは削除。データはバックアップから復元し、サイトは元通りになりました。

後日担当者から連絡があり、削除もととなったIPアドレスは担当者のものだったと判明。外部から侵入があったわけではなさそうですが、利用していたサーバーを海外サーバーから国内サーバーに移転をされて解決したようでした。

サイトのコンテンツは資産です。バックアップデータがあったことで無事復元できましたが、なくなったと思うとゾッとしますね。。。

WordPressコアのアップデートをすると崩れてしまう事例

他社業者により、海外で販売されている有料テーマを利用しサイトを作成されたサイトがありました。テーマのアップデート有効期限が切れており、WordPressコアのアップデートを行うとトップページに設置していた画像スライダーコンテンツ部分が大きく崩れてしまうという問題が起こりました。

複数サイトで確認したところアップデート後必ず同じ箇所が崩れており、元々のバージョンに戻すと元にもどりました。テーマを再度購入し、1年間のアップデートを受ければ解決する可能性の高い問題でしたが、同サイトが数十個あったためクライアント的に毎年購入するのは費用的に負担が重く、アップデートをしないという判断になりました。

メジャーアップデートができないため、WordPressから提供されるセキュリティ対策のマイナーアップデートのみのアップデートとなります。

現在は管理終了となり手を離れています。大きな問題が起こらないといいですが・・・

「アップデートすると崩れる」という問題は結構あり、他業者による構築で、納品後そのままで手がつけられなくなった、という話をたまに聞きます。

勝手にメールを1日に8000通送信されてしまった事例

WordPressのアップデートを怠っていたことで、古いバージョンのWordPressサイトを利用し続け、脆弱性を突かれて不正なファイルを設置されてしまった例です。

他社業者制作によるWordPressサイトと、こちらで制作したWordPressサイトがありましたが、いずれも納品後の管理はクライアント自身となっており、WordPressコア・プラグイン等のアップデートは行っていない状態でした。

サーバーから1日に8,000通のメール送信が行われているとレンタルサーバー会社から連絡があり問題が発覚しました。該当ドメインのアクセスを遮断してもらいました。

バージョンアップをしていなかったことにより、WordPressの脆弱性をつかれ不正ファイルをアップされ、大量のメールを送られてしまったと予想できます。

その後適切な措置をとり、WordPressの更新を定期的に行うよう変更、また検証用のテストサイトも用意し、同じ問題が怒らないようなフローへ変更しました。

サーバーからスパムメールが送られると、共有サーバーの場合は同居している他の方に多大な迷惑がかかります。特定のサーバーからスパムメールが送られていることがわかると、「スパムメールを送っているサーバー」と判定されてしまい、自分はもとより同じサーバーの他のユーザーも同じように扱われてしまいます。

数万件のスパムコメントがついてしまった事例

セキュリティ対策が不完全だったため、ものすごい数のスパムコメントが投稿されていた問題がありました。

構築は他社業者が行なったサイトで、サイト完成後しばらくして管理を請け負っていたサイトでした。もともとサイト表示速度は遅めでしたが、ある日連絡をいただき見てみると、サイト自体も管理画面もとても重く、遅すぎて使えないレベルになっていました。

管理画面にログインしてみると、スパムコメントが数万件も投稿されていました。コメントは表示はしていなかったためサイトを見るだけではわかりませんでしたが、コメント欄自体は有効だったため起きてしまった問題でした。

コメントはDBからすべて削除。まあ海外からの不正ログイン、コメントスパム、トラックバックを遮断するように設定したところ、その後一切コメントはなく、同時にサイトの表示速度も大きく改善されました。ログを確認したところ、海外サーバーから非常に多くのアクセスがあったことで表示スピードが遅くなっていたことがわかりました。

商用サイトだったため、サイト表示速度が遅いのは問い合わせ減、アクセス減に直結し、大きなダメージとなります。また、コメントを開放していると、訪問者が誤ってクリックしてしまうと不正なページに行ってしまい、被害を与えてしまうことになります。

WordPressは必ず最新版に!できれば検証用のサイトを

適切なセキュリティ対策を行っていないことで起きた問題をいくつか紹介しました。WordPressサイトで構築、運用する場合は必ずアップデートし、コア・プラグインは最新版を利用しましょう。WordPressのアップデートはセキュリティ対策への対応が多く、放置したままWordPressを使い続けることは玄関のドアを開けっ放しにして生活するようなものです。特に商用サイト、多くの人が見るサイト、ユーザーがログインするサイト、ECサイトなど、最新版を利用しましょう。

アップデートすると表示が崩れたり、サイトにアクセスできなくなるから怖い

全くその通りです。そのため、基本的に保守管理しているサイトでは本番環境とは別に一般公開をしていない検証用サイトを用意し、アップデートはまず検証用サイトで確認してから問題ないかどうか確認し、本番環境へアップデートすることが望ましいです。

もし検証用のサイトが用意できない場合は、最低限バックアップだけはしっかりとっておきましょう。いくつかバックアップ用のプラグインがあり、初期設定のみで完了します。

WordPressは強力で便利なツールです。しかしその反面、アップデートを怠ったり、適切なセキュリティ対策を行っていないことで問題がおこるリスクは高まります。

セキュリティ対策用のプラグインを利用したり、WAF(ウェブアプリケーションファイアウォール)が標準装備のサーバーを利用するなどし、このような問題が起こらないよう運用することが重要だと考えています。

WordPress保守管理サービス

Filed Under: WordPress 関連タグ:保守管理

池田祐太郎

WordPressをはじめとしたCMSの導入を10年以上にわたって手掛けており、中小企業から大企業までコーポレートサイト・ランディングページ・ECサイト・ブランドサイト等、幅広いWebサイトの企画・制作・開発・プロモーション業務などを行う。2012年にハイファイブクリエイトを創業し、現在はディレクションや開発業務などを担当している。 プロフィール詳細

この記事と関連する記事

WordPressの保守が必要な理由とチェックするべき9点
2021年1月29日
タグ: 保守管理
カテゴリー: WordPress
Contact Form 7 に見つかったファイルアップロードの脆弱性はどのくらい危険なのか?
2020年12月28日
タグ: 保守管理, 脆弱性
カテゴリー: WordPress
[WordPressサイト向け支援キャンペーン] WordPress保守管理の無料コンサルティングを実施
2020年10月10日
タグ: 保守管理
カテゴリー: お知らせ

最初のサイドバー

WordPress保守管理サポート

Search

最近の投稿

  • WordPressの保守が必要な理由とチェックするべき9点
  • Contact Form 7 に見つかったファイルアップロードの脆弱性はどのくらい危険なのか?
  • 2020-2021年末年始の営業のご案内
  • [WordPressサイト向け支援キャンペーン] WordPress保守管理の無料コンサルティングを実施
  • お名前.com レンタルサーバーでSSH接続する方法

カテゴリー

  • CSS初心者
  • HTML初心者
  • TIPS
  • WooCommerce
  • WordPress
  • エステサロン
  • お知らせ
  • キュレーション
  • サイトマップ
  • システム会社
  • デベロッパーツール入門
  • ブログ
  • ホームページ制作
  • ホームページ制作無料講座
  • モバイル
  • 仕事のこと
  • 制作実績
  • 整体院
  • 美容院
  • 雑感

タグ

Android BtoC Chrome CMS css Fireworks Google+ HTML Illustrator iOS iPhone jQuery Mac mixi Photoshop初心者 php SEO SNS Webサイト高速化 WordPress WordPressカスタマイズ WordPressテーマ WordPress構築調査 お知らせ アクセス解析 アプリ カスタマイズ カフェ クラウド サーバー スマホサイト スマートフォン ソーシャル ツール フラットデザイン ブログ プラグイン マーケティング ライフログ リニューアル 保守管理 制作のご依頼 最適化 集客するサイト構築 飲食店

アーカイブ

CONTACT

お問い合わせはこちら

Footer

  • PRIVACY POLICY
  • 特定商取引法に基づく表示
  • 転載・引用について
  • Facebook

© 2021 high five create All rights reserved.