WordPressのアップデートをしないことによる記事を以前書きました。
今回は、WordPressのアップデートをしないまま使い続けたことや、セキュリティ対策を行わなったために実際に起こってしまった事例をご紹介します。
目次
数百件のコンテンツが消えた事例
WordPressで初期発行されるユーザーアカウントである「admin」を変更せずサイト公開後も使い続けてしまったため起きた問題です。
ユーザー投稿型サイトを運営しているサイトがあり、保守管理等は行わずにデザインリニューアルのみを請け負っていました。リニューアル後のある日、ユーザーが投稿した600-700件程あったコンテンツが100件以下に消えていると連絡がありました。ログを確認したところ、管理画面にログイン成功し、ユーザー投稿のコンテンツを削除している形跡がありました。
元々作成されたWordPressからアカウント名は変えず、パスワードも初期設定のままということだったため、まずは管理者アカウント別途作成し、元あった管理者アカウントは削除。データはバックアップから復元し、サイトは元通りになりました。
後日担当者から連絡があり、削除もととなったIPアドレスは担当者のものだったと判明。外部から侵入があったわけではありませんでしたが、利用していたサーバーを海外サーバーから国内サーバーに移転をされて解決したようでした。
サイトのコンテンツは資産です。バックアップデータがあったことで無事復元できましたが、なくなったと思うとゾッとしますね。。。
WordPressコアのアップデートをすると崩れてしまう事例
他社業者により、海外で販売されている有料テーマを利用しサイトを作成されたサイトがありました。テーマのアップデート有効期限が切れており、WordPressコアのアップデートを行うとトップページに設置していた画像スライダーコンテンツ部分が大きく崩れてしまうという問題が起こりました。
複数サイトで確認したところアップデート後必ず同じ箇所が崩れており、元々のバージョンに戻すと元にもどりました。テーマを再度購入し、1年間のアップデートを受ければ解決する可能性の高い問題でしたが、同サイトが数十個あったためクライアント的に毎年購入するのは費用的に負担が重く、アップデートをしないという判断になりました。
メジャーアップデートができないため、WordPressから提供されるセキュリティ対策のマイナーアップデートのみのアップデートとなります。
現在は管理終了となり手を離れています。大きな問題が起こらないといいですが・・・
「アップデートすると崩れる」という問題は結構あり、他業者による構築で、納品後そのままで手がつけられなくなった、という話をたまに聞きます。
勝手にメールを1日に8000通送信されてしまった事例
WordPressのアップデートを怠っていたことで、古いバージョンのWordPressサイトを利用し続け、脆弱性を突かれて不正なファイルを設置されてしまった例です。
他社業者制作によるWordPressサイトと、こちらで制作したWordPressサイトがありましたが、いずれも納品後の管理はクライアント自身となっており、WordPressコア・プラグイン等のアップデートは行っていない状態でした。
サーバーから1日に8,000通のメール送信が行われているとレンタルサーバー会社から連絡があり問題が発覚しました。該当ドメインのアクセスを遮断してもらいました。
バージョンアップをしていなかったことにより、WordPressの脆弱性をつかれ不正ファイルをアップされ、大量のメールを送られてしまったと予想できます。
その後適切な措置をとり、WordPressの更新を定期的に行うよう変更、また検証用のテストサイトも用意し、同じ問題が怒らないようなフローへ変更しました。
サーバーからスパムメールが送られると、共有サーバーの場合は同居している他の方に多大な迷惑がかかります。特定のサーバーからスパムメールが送られていることがわかると、「スパムメールを送っているサーバー」と判定されてしまい、自分はもとより同じサーバーの他のユーザーも同じように扱われてしまいます。
数万件のスパムコメントがついてしまった事例
セキュリティ対策が不完全だったため、ものすごい数のスパムコメントが投稿されていた問題がありました。
構築は他社業者が行なったサイトで、サイト完成後しばらくして管理を請け負っていたサイトでした。もともとサイト表示速度は遅めでしたが、ある日連絡をいただき見てみると、サイト自体も管理画面もとても重く、遅すぎて使えないレベルになっていました。
管理画面にログインしてみると、スパムコメントが数万件も投稿されていました。コメントは表示はしていなかったためサイトを見るだけではわかりませんでしたが、コメント欄自体は有効だったため起きてしまった問題でした。
コメントはDBからすべて削除。海外からの不正ログイン、コメントスパム、トラックバックを遮断するように設定したところ、その後一切コメントはなく、同時にサイトの表示速度も大きく改善されました。ログを確認したところ、海外サーバーから非常に多くのアクセスがあったことで表示スピードが遅くなっていたことがわかりました。
商用サイトだったため、サイト表示速度が遅いのは問い合わせ減、アクセス減に直結し、大きなダメージとなります。また、コメントを開放していると、訪問者が誤ってクリックしてしまうと不正なページに行ってしまい、被害を与えてしまうことになります。
WordPressは必ず最新版に!できれば検証用のサイトを
適切なセキュリティ対策を行っていないことで起きた問題をいくつか紹介しました。WordPressサイトで構築、運用する場合は必ずアップデートし、コア・プラグインは最新版を利用しましょう。WordPressのアップデートはセキュリティ対策への対応が多く、放置したままWordPressを使い続けることは玄関のドアを開けっ放しにして生活するようなものです。特に商用サイト、多くの人が見るサイト、ユーザーがログインするサイト、ECサイトなど、最新版を利用しましょう。
アップデートすると表示が崩れたり、サイトにアクセスできなくなるから怖い
全くその通りです。そのため、基本的に保守管理しているサイトでは本番環境とは別に一般公開をしていない検証用サイトを用意し、アップデートはまず検証用サイトで確認してから問題ないかどうか確認し、本番環境へアップデートすることが望ましいです。
参考: WordPressのテストサイト・検証用環境の作り方
もし検証用のサイトが用意できない場合は、最低限バックアップだけはしっかりとっておきましょう。いくつかバックアップ用のプラグインがあり、初期設定のみで完了します。
WordPressは強力で便利なツールです。しかしその反面、アップデートを怠ったり、適切なセキュリティ対策を行っていないことで問題がおこるリスクは高まります。
セキュリティ対策用のプラグインを利用したり、WAF(ウェブアプリケーションファイアウォール)が標準装備のサーバーを利用するなどし、このような問題が起こらないよう運用することが重要だと考えています。
