• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
  • Skip to footer

株式会社ハイファイブクリエイト

東京都を拠点にWebサイト制作やシステム構築、WordPress保守管理やウェブコンサルティングを提供。

  • SERVICE
  • ABOUT
  • WORKS
  • BLOG
  • NEWS
  • CONTACT
ホーム / ブログ / WordPress / WordPressのアップデートやセキュリティ対策をしなかったことで実際に起きた事件

WordPressのアップデートやセキュリティ対策をしなかったことで実際に起きた事件

池田祐太郎 | 2022年7月19日 更新 | 2018年6月11日 公開

WordPressのアップデートをしないことによる記事を以前書きました。

WordPressのアップデートをしないとどうなる?

今回は、WordPressのアップデートをしないまま使い続けたことや、セキュリティ対策を行わなったために実際に起こってしまった事例をご紹介します。

目次

  • 1 数百件のコンテンツが消えた事例
  • 2 WordPressコアのアップデートをすると崩れてしまう事例
  • 3 勝手にメールを1日に8000通送信されてしまった事例
  • 4 数万件のスパムコメントがついてしまった事例
  • 5 WordPressは必ず最新版に!できれば検証用のサイトを
    • 5.1 アップデートすると表示が崩れたり、サイトにアクセスできなくなるから怖い

数百件のコンテンツが消えた事例

WordPressで初期発行されるユーザーアカウントである「admin」を変更せずサイト公開後も使い続けてしまったため起きた問題です。

ユーザー投稿型サイトを運営しているサイトがあり、保守管理等は行わずにデザインリニューアルのみを請け負っていました。リニューアル後のある日、ユーザーが投稿した600-700件程あったコンテンツが100件以下に消えていると連絡がありました。ログを確認したところ、管理画面にログイン成功し、ユーザー投稿のコンテンツを削除している形跡がありました。

元々作成されたWordPressからアカウント名は変えず、パスワードも初期設定のままということだったため、まずは管理者アカウント別途作成し、元あった管理者アカウントは削除。データはバックアップから復元し、サイトは元通りになりました。

後日担当者から連絡があり、削除もととなったIPアドレスは担当者のものだったと判明。外部から侵入があったわけではありませんでしたが、利用していたサーバーを海外サーバーから国内サーバーに移転をされて解決したようでした。

サイトのコンテンツは資産です。バックアップデータがあったことで無事復元できましたが、なくなったと思うとゾッとしますね。。。

WordPressコアのアップデートをすると崩れてしまう事例

他社業者により、海外で販売されている有料テーマを利用しサイトを作成されたサイトがありました。テーマのアップデート有効期限が切れており、WordPressコアのアップデートを行うとトップページに設置していた画像スライダーコンテンツ部分が大きく崩れてしまうという問題が起こりました。

複数サイトで確認したところアップデート後必ず同じ箇所が崩れており、元々のバージョンに戻すと元にもどりました。テーマを再度購入し、1年間のアップデートを受ければ解決する可能性の高い問題でしたが、同サイトが数十個あったためクライアント的に毎年購入するのは費用的に負担が重く、アップデートをしないという判断になりました。

メジャーアップデートができないため、WordPressから提供されるセキュリティ対策のマイナーアップデートのみのアップデートとなります。

現在は管理終了となり手を離れています。大きな問題が起こらないといいですが・・・

「アップデートすると崩れる」という問題は結構あり、他業者による構築で、納品後そのままで手がつけられなくなった、という話をたまに聞きます。

勝手にメールを1日に8000通送信されてしまった事例

WordPressのアップデートを怠っていたことで、古いバージョンのWordPressサイトを利用し続け、脆弱性を突かれて不正なファイルを設置されてしまった例です。

他社業者制作によるWordPressサイトと、こちらで制作したWordPressサイトがありましたが、いずれも納品後の管理はクライアント自身となっており、WordPressコア・プラグイン等のアップデートは行っていない状態でした。

サーバーから1日に8,000通のメール送信が行われているとレンタルサーバー会社から連絡があり問題が発覚しました。該当ドメインのアクセスを遮断してもらいました。

バージョンアップをしていなかったことにより、WordPressの脆弱性をつかれ不正ファイルをアップされ、大量のメールを送られてしまったと予想できます。

その後適切な措置をとり、WordPressの更新を定期的に行うよう変更、また検証用のテストサイトも用意し、同じ問題が怒らないようなフローへ変更しました。

サーバーからスパムメールが送られると、共有サーバーの場合は同居している他の方に多大な迷惑がかかります。特定のサーバーからスパムメールが送られていることがわかると、「スパムメールを送っているサーバー」と判定されてしまい、自分はもとより同じサーバーの他のユーザーも同じように扱われてしまいます。

数万件のスパムコメントがついてしまった事例

セキュリティ対策が不完全だったため、ものすごい数のスパムコメントが投稿されていた問題がありました。

構築は他社業者が行なったサイトで、サイト完成後しばらくして管理を請け負っていたサイトでした。もともとサイト表示速度は遅めでしたが、ある日連絡をいただき見てみると、サイト自体も管理画面もとても重く、遅すぎて使えないレベルになっていました。

管理画面にログインしてみると、スパムコメントが数万件も投稿されていました。コメントは表示はしていなかったためサイトを見るだけではわかりませんでしたが、コメント欄自体は有効だったため起きてしまった問題でした。

コメントはDBからすべて削除。海外からの不正ログイン、コメントスパム、トラックバックを遮断するように設定したところ、その後一切コメントはなく、同時にサイトの表示速度も大きく改善されました。ログを確認したところ、海外サーバーから非常に多くのアクセスがあったことで表示スピードが遅くなっていたことがわかりました。

商用サイトだったため、サイト表示速度が遅いのは問い合わせ減、アクセス減に直結し、大きなダメージとなります。また、コメントを開放していると、訪問者が誤ってクリックしてしまうと不正なページに行ってしまい、被害を与えてしまうことになります。

WordPressは必ず最新版に!できれば検証用のサイトを

適切なセキュリティ対策を行っていないことで起きた問題をいくつか紹介しました。WordPressサイトで構築、運用する場合は必ずアップデートし、コア・プラグインは最新版を利用しましょう。WordPressのアップデートはセキュリティ対策への対応が多く、放置したままWordPressを使い続けることは玄関のドアを開けっ放しにして生活するようなものです。特に商用サイト、多くの人が見るサイト、ユーザーがログインするサイト、ECサイトなど、最新版を利用しましょう。

アップデートすると表示が崩れたり、サイトにアクセスできなくなるから怖い

全くその通りです。そのため、基本的に保守管理しているサイトでは本番環境とは別に一般公開をしていない検証用サイトを用意し、アップデートはまず検証用サイトで確認してから問題ないかどうか確認し、本番環境へアップデートすることが望ましいです。

参考: WordPressのテストサイト・検証用環境の作り方

もし検証用のサイトが用意できない場合は、最低限バックアップだけはしっかりとっておきましょう。いくつかバックアップ用のプラグインがあり、初期設定のみで完了します。

WordPressは強力で便利なツールです。しかしその反面、アップデートを怠ったり、適切なセキュリティ対策を行っていないことで問題がおこるリスクは高まります。

セキュリティ対策用のプラグインを利用したり、WAF(ウェブアプリケーションファイアウォール)が標準装備のサーバーを利用するなどし、このような問題が起こらないよう運用することが重要だと考えています。

メールコンサルティング
WordPress保守管理サービス

Filed Under: WordPress 関連タグ:保守管理

池田祐太郎

WordPressの導入を10年以上にわたって手掛けており、主に小〜中規模のコーポレートサイト・ECサイト・ブランドサイト等の企画・開発・保守・コンサルティングなどを行ってきました。2012年にハイファイブクリエイトを創業し、現在はWordPressの保守やコンサルティング、ディレクションや開発業務などを担当しています。 プロフィール詳細

この記事と関連する記事

WordPress のクロスサイト・スクリプティング被害にあった事例を共有します
2023年1月11日
タグ: セキュリティ, 保守管理
カテゴリー: WordPress
エラーログに wp-admin, wp-include 配下のファイルが含まれているエラーの対応方法
2022年11月15日
タグ: 保守管理
カテゴリー: TIPS
WordPress で PHP エラーメッセージを非表示にしたい時
2022年10月25日
タグ: php, 保守管理
カテゴリー: TIPS

人気記事

  1. git pull してもエラーが出てファイルが反映されないときの対処法
  2. 同一サーバー上に構築するWordPressのテスト環境の作り方
  3. WordPressの固定ページでタグやカテゴリーを使いたいときはカスタム投稿タイプを検討する
  4. サイト制作の要件定義書に普段書いている内容(ダウンロード可)
  5. WordPress において PHP 8.1 に更新していいかどうか検証
  6. [便利]困難な判断を10秒で AI が客観的に導き出すツールを試してみた

最初のサイドバー

WordPress保守管理サポート

Search

最近の投稿

  • [便利]困難な判断を10秒で AI が客観的に導き出すツールを試してみた
  • WordPress のクロスサイト・スクリプティング被害にあった事例を共有します
  • メール作業の生産性を向上させる最低限覚えておくべき Gmail のショートカットキー
  • タブ固定とタブ一発アクセスのショートカットキーの組み合わせでブラウザ作業の生産性を向上
  • メールフォームプラグイン MW WP Form を使いながら WP Rocket を使う場合にエラー回避する設定

カテゴリー

  • CSS初心者
  • HTML初心者
  • TIPS
  • WooCommerce
  • WordPress
  • エステサロン
  • お知らせ
  • キュレーション
  • サイトマップ
  • システム会社
  • デベロッパーツール入門
  • ブログ
  • ホームページ制作
  • ホームページ制作無料講座
  • メール
  • モバイル
  • 仕事のこと
  • 制作実績
  • 整体院
  • 美容院
  • 雑感

タグ

Android BtoC CMS css elementor git google workspace Gutenberg HTML iPhone jQuery Mac MAMP php SEO SNS ssh SSL Sublime Text Webサイト高速化 Windows WordPress WordPressカスタマイズ WordPressテーマ WordPress構築調査 WPRocket アクセス解析 アプリ クラウド クラウドソーシング サイト引っ越し サブスクリプション サーバー ショートカットキー スマホサイト スマートフォン ツール ブログ プラグイン マーケティング リニューアル 保守管理 改ざん 最適化 集客するサイト構築

アーカイブ

CONTACT

お問い合わせはこちら

Footer

  • PRIVACY POLICY
  • 情報セキュリティ基本方針
  • 特定商取引法に基づく表示
  • 転載/引用

© 2023 high five create All rights reserved.