ご存じの方も多いと思いますが、当サイトでもご紹介しているレンタルサーバーのロリポップ!で、8月29日にWordPressサイトを標的にした大規模攻撃がありました。
※ 「ロリポップ!、WordPress利用サイトで不正アクセスによる改ざん被害」(INTERNET Watchサイト)
けっこう大きなニュースになっています。この記事を書いている時点で、8438件の被害があったとのことです。
事の発端や、ロリポップ!の対策の経過については、「当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について」で確認できます。
私もいちおう、ロリポップ!ユーザーなので(ロリポップ!ではWordPressは使っていませんが)、今回の件は他人事ではなく、事実を知った30日の金曜日から、ネット検索をして経緯を見守っていました。
今のところ、狙われているのはロリポップ!だけのようで、他のレンタルサーバーへの大規模攻撃などはないようです。
被害にあった方の声は、WordPressフォーラムの「サイト改ざん?」で確認できます。
そこで、この土日は、運営しているすべてのWordPressサイトで、超エンドユーザーの私でもできる、以下のようなWordPressのセキュリティ対策を行いました。
- wp-config.phpファイルのパーミッションを404に、.htaccessファイルのパーミッションを604に変更。
- プラグインを最新のものに更新し、使っていないプラグインを全削除。
- 使っていないテーマを全削除
以前、「wp-config.phpのパーミッションを変更。」という過去記事で、wp-config.phpファイルのパーミッションを444に変更していたのですが、これをさらに、「404」に変更しました。
実はけっこうずぼらで、プラグインを古いままで使っていたのがけっこうあったので、全て最新のものに更新、使わないものは削除、テンプレートも使わないものを全削除しました。
今年(2013年)の4月にあった、世界中のWordPressサイト大規模攻撃の時にも思ったのですが、やはりこういう事態になると、もしもの時のために、常日頃からのWordPressサイトのバックアップの重要性を痛感します。
今回のハッキングはデモンストレーションっぽいものみたいなので、記事データが全削除されるなどの実害はなかったみたいですが、もしそんなことにでもなったとしたら、私だったら、サイト運営を止めてしまうかもしれません(笑)。
とはいえ、WordPressのバックアップはけっこう手間です。
せめて、WordPress管理画面のエクスポート機能を使って、毎回記事を書くたびに、記事などだけでもバックアップ。
そして、「wp-content」フォルダ内にある、アップロード画像が収められている「uploads」フォルダをバックアップしておけば、WordPressエンドユーザーでも何とか復旧できるのではないかと思います。
記事などのエクスポートだけなら、当サイトのような弱小WordPressサイトなら、今どきめずらしいADSL回線を使っても、30秒程度でエクスポートファイルをダウンロードできます。
この2つの作業だけは、これからまめにやっていこうと思いました。
サーバーによっては、エックスサーバーのように、自動バックアップ機能がある(有料オプション)ところもあるので、バックアップに手を煩わせたくないという方は、そういうレンタルサーバーを選ぶのも1つの方法かもしれません。
ちなみに、当サイトは格安レンタルサーバーのミニバードで運営しているので、これからもこまめに手動バックアップを続けていきたいと思います(笑)。
end.