改ざん復旧サービスをご利用いただいたお客様へ
サイト改ざん再発防止策のご案内
この度は、WebRepair改ざん復旧サービスをご利用いただきありがとうございます。
サイト復旧後によくお問い合わせいただく、再発防止策等についてのご案内です。
改ざん復旧サービスをご利用いただいたお客様へは、基本的な再発防止の施策はしてあります。
セキュリティ強化の設定はしてありますが、それによって今後起こり得る全てのリスクを防げる、というわけではありません。
以下は、日々のサイト運用上での再被害防止策となります。
※再被害防止策は一般的な運用面の注意事項です。このページ内の項目に関する代行作業やエラー対応は復旧サービスには含まれませんのでご注意ください。
目次
1.再発防止策について
WordPressサイトにおいて、改ざんの被害を受けないために最も基本的で重要なことは、コア・プラグイン・テーマのアップデートです。
特にサービスに含まれるWordPressコアやプラグインアップデートは、お客様のサイト利用環境においての復旧直後の時点で行ったものです。
WordPressコアもプラグインも、随時新バージョンがリリースされ、その中には脆弱性の対策を行ったものが含まれます。
復旧完了後、現時点では安全なものとなっていても、今後現在お使いのプラグインにも未知の脆弱性が確認されることがあります。
WebRepairをご利用いただくお客様の多くは、アップデートしていないプラグインの脆弱性を突かれて被害にあっています。
今後は、コア・プラグイン・テーマは、お客様ご自身でのアップデート対応が必要となります。
常にコアやプラグインを最新のバージョンに保つよう、定期的(2週間に1回~1か月に1回)に管理画面にログインし、アップデートをすることをお勧めします。
これは、記事追加等を特に行っていないサイトでも同様です。
アップデートに関する注意
バックアップを取得してからアップデートを行う
ご自身でアップデートを行う際は、必ずバックアップ(サイトデータおよびデータベース)を作成した上で、アップデートを行ってください。
バックアップは保険のようなものです。
サイトに問題が起こりそれを直すことができない場合に、バックアップ保全時の状態に戻すために使うことが主な役割です。
エラーを確認し問題を解決することで、バックアップを使用しなくて済むこともあります。
アップデート後にはサイト動作の確認を行う
アップデートによって、重大なエラーが出ていないか、サイト表示が崩れていないかを確認しましょう。
重大なエラーがでる場合は、そのエラーと関係する動作(画面を表示する・投稿する等)を行う時にエラー画面が表示されます。
アップデートと動作環境
WordPressコアやプラグインはバージョンにより動作できる環境が異なります。
お使いのWordPressコアとPHPバージョンとの互換性、WordPressコアのバージョンと利用中プラグインのバージョンの互換性により、アップデートができない場合やサイトの表示に不具合が出る場合があります。
PHP環境やコアの互換性については、WordPress管理画面の更新ページに注意書きが表示されますので、必ず確認してください。
WordPressコアを動かすための言語であるPHPのバージョンは、レンタルサーバーの管理画面で確認・変更が可能です。
また、稼働しているサイトのPHPバージョンはサイト管理画面の「ツール」→「サイトヘルス」でサーバータブを開いて確認することができます。
テーマアップデートについて
テーマについては、市販テーマ・無料のテーマ・オリジナルのテーマ等の違いでアップデートの方法が異なりますので、必ず使用テーマの配付元や制作者からアップデート情報を確認してください。
市販のテーマを使っている場合、制作時にご自身でコード変更をしたにも関わらず「子テーマ」を作っていない場合はアップデートにより自作カスタマイズ部分を消失する可能性があります。
自動更新(自動アップデート)の有効化
管理画面で、プラグインの自動更新を有効にすることも可能です。
こうすることで、新しいバージョンのプラグインがリリースされると、自動的にアップデートがされます。
ただし、アップデートによって画面の表示が変わったり、プラグインが動かなくなったりすることも稀にあり、自動更新にすると管理者側がそれに気が付かない場合もあるのでご注意ください。
※ 再発防止をしながらのサイト運用、アップデートの管理に自信がないという場合は、WebRepairのサイト保守サービスがございます。ご自身でのアップデートに失敗した際のトラブル対応等も行っています。
2.セキュリティプラグインは必要?
弊社では、復旧後にセキュリティプラグインを追加することは特に勧めていません。
復旧したサイトの.htaccessファイル内、基本的なセキュリティ対策強化設定をしています。
これにより、一般的なセキュリティプラグインについている設定は概ねできています。
例えば、ログイン画面のURLを変更したい、キャプチャをつけたい、といった場合は別途機能追加をしてください。(復旧時に管理者パスワードは複雑なものに変更してあるので、パスワードアタックへの対策はできています。)
セキュリティプラグインを複数導入したからといって必ずしもサイトが強化されるわけではありません。導入する場合は、各プラグインでどのような機能があるかを確認し、設定を行ってください。
3.復旧後のGoogle検索結果と対策
改ざんと復旧に関して、検索結果画面への反映は少し時差があります。
復旧直後には、しばらくの間改ざんされた時の検索結果の表示が続くことがあります。
検索結果画面への反映はGoogleの動き次第であり、基本的にはGoogleのアルゴリズムの動きによるものとなります。
改ざんされたまま長い間放置していたサイトは既に順位が下がっており、順位の復活に時間がかかることもあります。
検索結果の確認方法
Googleの検索ワード入力欄に
site:example.com(復旧したサイトドメイン)
と入力することで、当該ドメインでGoogleに検索インデックスされているページが全て表示されます。
不正な結果が残っている場合
・Googleサーチコンソールにアクセス
・インデックス登録の問題や不正なコンテンツに関するアラートがある場合は、再審査申請を行う。
・復旧済サイトのサイトマップを更新し、Googleサーチコンソールでサイトマップ更新の申請を行う。
・そのまましばらく待つ
これで対応は完了となります。
サーチコンソールを使っていれば、サーチコンソール内でサイトマップ更新し、不正コンテンツやインデックスにおける問題のアラートが出ていれば再審査申請をすることをお勧めします。
この結果も少し時差を置いて検索結果に表れます。反映までの時間はサイトによって差があります。
特に、改ざんされたページの中身の書き換えや削除は必要ありません。
(検索結果を気にしすぎて、ページの削除や作り変えを行いすぎてしまい、Google側に不審な動きが続いていると誤検知されて、反映が遅くなるという例も過去にありましたので、お気をつけください)
投稿記事の更新等はこれまで通り続けることをお勧めします。
5.レンタルサーバーへの対応
・サイトが改ざん被害にあった際にレンタルサーバーより連絡が来ていた場合
・被害によって、サイトが表示がされなくなってしまっていた場合
これらの場合は、レンタルサーバー管理会社から何らかの制限がかけられていることがあります。
レンタルサーバーに登録しているメールアドレスのメール受信トレイを確認し、通知がないか確認してください。
通知が来ていた場合は、その案内に沿って、サイトの復旧完了後に必要な手続きのみを行ってください。復旧サービス完了後であれば、サイトのリストアやドメイン初期化等は必要ありません。
5.バックアップの取得
復旧前に残していたバックアップデータは、被害にあった時期が特定できており、それ以前に保全したデータでない限りは安全とは言えません。
復旧作業では、被害前のバックアップデータは基本的に削除しています。
復旧後はバックアップデータがない状態になりますので、弊社の作業が全て終了した後で再取得しローカル環境に保全してください。
6.サーバー内の整理と現状把握
特にご自身で制作を行い、複数のサイトをサーバー内で管理されている方は、復旧後にサーバー内のデータの確認・整理をすることをお勧めします。
復旧を機にサイトデータを削除したドメインや、使っていないデータベースの削除だけでなく、サーバー機能を使った定期バックアップやアクセスログの取得と保管設定等をご検討ください。
7.開発環境を削除した場合
復旧時に開発環境を削除したが、今後も開発環境が必要な場合は、復旧後のデータを利用して最新の開発環境を作成しなおすことをお勧めします。
ただし、開発環境は、本番環境とは別のサーバー内で作成することが望ましいと言えます。
※ 再発防止をしながらのサイト運用、アップデートの管理に自信がないという場合は、WebRepairのサイト保守サービスがございます。ご自身でのアップデートに失敗した際のトラブル対応等も行っています。
8.PHPのバージョンについて
アップデートの項目でも説明をしていますが、サーバーで設定しているPHPのバージョンが古い場合、今後のコア・テーマ・プラグインのアップデートに支障をきたす場合があります。
PHPは、WodrPressを動かすためのプログラミング言語です。
PHPにもバージョンがあり、バージョンによって、プログラミング言語の書き方が異なる箇所があります。
その為、新しいバージョンのPHPを使っているサーバーでは、古いバージョンのPHPを正しく読みとらず、エラーが発生することがあります。
レンタルサーバーの場合、サーバーの仕様で使えるバージョンや設定方法が決まっています。
比較的新しいバージョンであるWordPressコア(5.5系以降)はサイト動作の推奨環境はPHP7.4以上となっています。
しかし、PHP7.4のセキュリティサポートの終了日は2022/11/28で終了しており、これは、PHP7.4に新しい脆弱性が出てもその対応がされないということを意味しています。
PHP7.4のサポート終了に伴い、WordPressのコアやプラグインはPHP8.0への対応が始まっています。
今後はPHP7.4には対応しないプラグインが増えてくる見込みです。
PHP7.4以前のバージョンでサイトを運用している場合、近い将来PHP8.0以上のバージョンへの切り替えを行う必要があります。
さらに古いPHP7.2以前のバージョンを使っている場合、新しいWordPressコアも動作環境として推奨しておらず、その環境では最新のプラグインを使うことができなくなりつつあります。
PHPのバージョンはサイト管理画面のサイドバー内「ツール」→「サイトヘルス」の情報タブからサーバーの詳細項目で確認できます。
PHP7.4以前のバージョンをお使いの方は、8.0系へのアップデートをご検討ください。
※ PHPアップデートについては、単発のカスタマイズサービスとして承っております。