ハッキングされたブログを回復するために私がとった 5 つのステップ
私のブログ「Leaving Work Behind」が 4 月にハッキングされました。それはあなたが十分に頻繁に読んでいるものですが、手遅れになるまであなたに起こるとは決して期待していないことです。正直に言うと、私は自分が最有力候補であるとは思っていませんでした。私は WordPress のセキュリティについて頻繁に書いてきたので、十分な予防策を講じてきました。しかし、それらの対策は明らかに十分に包括的ではありませんでした。
ハッキングされることは二度と経験したくないことです。ウェブサイトのダウンタイムがブログやビジネスに悪影響を与える理由はたくさんあります。トラフィックの損失と潜在的な収入の 2 つが最も明白ですが、サイトの復元に費やした時間とストレスの大きさは軽視できません。私を引き起こした。
この投稿では、私のサイトに何が起こったのかを明らかにし、それ以来私のサイトのセキュリティを強化するために私が何をしたかをお知らせしたいと思います。
ハッキングの被害: 私の物語
4月18日木曜日に目が覚めると、自分のサイトが数時間ダウンしていたことがわかりました。私はすぐにホスティング プロバイダーである Westhost に連絡しました。そこで、ModSecurity ファイアウォールが私のサイトで異常なアクティビティを検出し、予防措置として直ちにシャットダウンしたとのことでした。サイトで初期復元を実行すると、サイトがハッキングされたことがすぐにわかりました。変化は比較的微妙なものでしたが、悪徳者が周囲をうろうろしていることは明らかでした。
膨大な数の WordPress サイトもハッキングされていたことが判明し、Westhost は仕事を中断されました。幸いなことに、彼らはサイトのバックアップを毎日取っており、翌日の午後までに、可能な限り最新に近いバージョンのサイトでオンラインに戻りました。
ハッキングが私のトラフィックに与えた影響は次のとおりです。
上のグラフを大局的に見ると、その週のトラフィックは前週と比較して最大 30% 減少しました。これは理論的には収入が 30% 減少することを意味します。
私は(自分の能力の限りを尽くして)そのようなハッキングが繰り返されないようにすることに熱心だったと言っても過言ではありません。私はすぐに行動を起こしました。
私の当面のステップ
私が最初にやったことは、WordPress Web サイトの保護に関する最近の投稿で概説した手順に従っていることを確認することでした。
これらは絶対的な基本でした。テーマとプラグインを更新すること、最新のバックアップがあることを確認すること、デフォルトのプロファイルの名前が「admin」でないことを確認すること、パスワードを変更すること、サイト上のセキュリティ プラグインを確認することです。これらのアイテムが揃ったら、次に進む時が来ました。
私は自分のサイトが 100% 安全になったと幻想を抱いていません。結局のところ、100% 安全なサイトなどというものは存在しません。そうは言っても、以前よりもはるかに安全になっているのはわかっており、現在および将来もサイトのセキュリティ対策を研究し続けるつもりです。これまでのところ、これが私が行ってきたことです。
1. VaultPressをインストールしました
ご存じない方のために説明すると、VaultPress は WordPress 用の完全に自動化されたバックアップおよびセキュリティ ソリューションです。それはWordPressの事実上の「所有者」であるAutomatticによって所有されていました。
ここ数日間 VaultPress を使用してきましたが、事前にサービスを利用するのに苦労しなかったのに、こんなに安くなったとは信じられません。基本パッケージは月額 15 ドルから始まります。私は安心のため、いつでもそれを支払います。
実際、私はプレミアム パッケージ (月額 40 ドル) を選択しました。これには以下が含まれます。
- リアルタイムバックアップ
- 自動ワンクリックサイト復元
- アーカイブ、統計、アクティビティ ログ
- 優先的な災害復旧
- 優先「コンシェルジュ」サポート
- 毎日のセキュリティスキャン
- セキュリティ通知
- ワンクリックでセキュリティ脅威を修復
- サイト移行支援
基本的に、彼らはあなたをカバーします。
VaultPress はハッカーに対するサイトのセキュリティを保証できませんが、サイトが比較的簡単に復元できることはほぼ保証できます。 VaultPress のサーバーに保存されているサイトの 1 時間ごとのスナップショットを見ると、とても心が落ち着きます。
無料のバックアップ ソリューションはたくさんありますが、VaultPress から得られる相対的な安心感に勝るものはないと思います。現在復元できる私のサイトのスナップショットが 90 件あり、そのうちの最新のものはわずか 20 分前のものです。私のサイトが彼らの手に渡っていても安全であることはわかっています。
2. 自分のプロフィールを管理した
ハッカーは、あなたが使用しているものだけでなく、WordPress バックエンド内の管理者プロファイルのいずれかからでもサイトにアクセスできる可能性があります。自分のプロフィールをロードすると、他に 3 つのプロフィールがあることがわかりました。ゲスト投稿者のプロフィールと、サイトへのアクセスを許可した (信頼できる) 人々の他の 2 つのプロフィールです。
まず、これら 2 つのプロファイルをシャットダウンし、ゲスト投稿者のプロファイルの役割を作成者に変更しました。これは、絶対に必要な数だけ管理者プロファイルを作成することをお勧めします。さらに、各アカウントが適切にランダムで一意のパスワードであること、およびそのパスワードが定期的に変更されることを確認する必要があります。
他の人 (Web デザイナーなど) にサイトへのアクセスを許可する必要がある場合があります。このような状況では、新しいパスワードを使用してプロファイルを作成し、必要がなくなったらすぐにそのプロファイルを削除することをお勧めします。
サイトのエントリ ポイントと、それが本当に必要かどうかを常に考えてください。
3. パスワードを変更しました
これは当然の行動だと思われるかもしれませんが、私は実際に WordPress のパスワードについて話しているのではありません。私はそれらを変更しましたが、すべてのパスワードを特に機密性の高いアカウントに確実に変更しました。つまり、次のとおりです。
- Gメール
- フェイスブック
- ツイッター
- 私のホスティングアカウント
- アマゾンアソシエイト
- 等
なぜ私がこの行動をとったのか疑問に思っているなら、最初に Amazon アカウントにハッキングしたハッカーによってデジタル ライフ全体が破壊されたマット ホーナンの話を考えてみてください。オンライン セキュリティについて何らかの不誠実さを感じている場合は、上記の記事を必ず読んでください。
この単純なチェーンを考えてみましょう。ハッカーがあなたの電子メール アカウントにアクセスし、あなたが最近 WordPress サイトのログイン情報を記載した電子メールを Web デザイナーに送信しました。それだけで、彼らはあなたのサイトにアクセスし、好きなように行動することができます。ハッキングはそれほど初歩的なものかもしれません。
4. SFTPにアップグレードしました
ご存知ないかもしれませんが、FTP 経由で転送するデータ (ユーザー名とパスワードを含む) は完全に暗号化されていません。したがって、FTP 転送の傍受に成功した人は誰でも、あなたのログイン詳細を取得し、あなたのアカウントにアクセスできるようになります。
これにより、ファイルを必要に応じて追加および削除できるだけでなく、phpMyAdmin 経由で WordPress データベースにアクセスし、最終的にはサイトにログインすることもできます。
簡単に言えば、ハッカーが FTP 経由で侵入できるのであれば、WordPress サイトへの直接アクセスがどれほど安全であっても意味がありません。そのため、サイトへの FTP アクセスを無効にし、データを暗号化する代替の SFTP プロトコルを使用してファイルを転送することを強くお勧めします。優れたホスティングプロバイダーであれば、これをサポートしてくれるはずです。
ホスティングプロバイダーといえば…
5. ホスティング ソリューションの適合性を検討する
Westhostと一緒にいられて嬉しいです。そもそもハッキングを発見し、深刻な被害が出る前に私のサイトをシャットダウンしてくれたのは、彼らの ModSecurity ファイアウォールでした。また、毎日の自動バックアップ (サイトの復元に使用) も実行しており、万全のカスタマー サポートも提供しています。
ホスティングプロバイダーにも同じことが言えますか?世の中には素晴らしいオプションがたくさんあるので、満足できないプロバイダーを使い続けるのはおかしいでしょう。最近 WPExplorer が行ったように、マネージド ホスティング ソリューション (WPEngine など) のいずれかに切り替えることを検討することもできます。
どちらを選択する場合でも、セキュリティ対策がどのように行われているかを必ず問い合わせてください。上記で講じた対策を検討し、それらがホスティング ソリューションと互換性があることを確認してください。
この話の教訓は、セキュリティについて妥協しないことです。結局のところ、 サイトを安全に保つことは何よりも重要です。あなたのサイトが冷酷なハッカーによってズタズタにされてしまったために、誰にも見られなければ、素晴らしいコンテンツや見事な新しいデザインがあっても意味がありません。
人々のサイトをハッキングする以外に自分の生活に他に関係のない極悪非道なタイプの人々は、すぐには消えることはありません。これを受け入れて、サイトを攻撃から保護するための合理的な措置を講じるのが早ければ早いほど、オンライン資産の長期的なセキュリティが向上します。
私がとった措置についてどう思うか知りたいです。他に何か推奨事項はありますか?コメント欄でお知らせください!