先月末のロリポップ・ワードプレス大規模ハッキングにおいて
当方のクライアント様サイトが
2つもハッキングされたことを
前回の記事に書きましたが、
これら2つのサイトがハッキング前にどういう状態だったかを含めて
ワードプレスサイトはどのような状態にしておくべきか
自戒の覚書として記しておきます。
ハッキング以前、
2つのサイトはIDに「admin」は使用していませんでした。
ログインパスワードも「強」が表示される英数字混合。
英単語としての意味も持たせていません。
WordPress本体も最新バージョンにアップデート済みで、
搭載・利用するプラグインやテーマも最新状態でした。
また、使用していないプラグインは削除済みで
テーマも使っていないものは削除していました。
使用プラグインについてもデフォルトで搭載されがちな
「super cache」でさえ脆弱性の疑いありとして私は使っていませんでした。
configファイルのパーミションは404。
ただ、惜しむらくは
ブラウザから頻繁にphpファイルを加工するため
WAF(Webアプリケーションファイヤーウォール)の設定を無効化していたことと、
データベースの接頭語を「wp_」のままにしていたこと。
サーバー運営会社からはまだ今回の大規模ハッキングについての
明確な原因の公表はなされていません。されるのかもわかりませんが。
初めてのホームページを作ってから今月6日で14年が経過します。
その間様々なサーバーを利用しました。
自前の専用回線や専用サーバー、共用サーバー。
共用サーバーを利用している以上、
今回のような事象は避けられないのかもしれません。
それでもロリポップサーバーを使わざるをえないのは、
一番にコスト。
自社ホームページが財産であるとしても
サーバーをどこまでの機能とコストで落ち着かせるのか。
例えて言うと、
「おたくの会社の金庫は耐火金庫ですか?」
と言う感じ。
数年前までは、サーバー維持費に「年間数万円以上」というのが常識でしたが
昨今の世情や景気を鑑みると「年間数千円で済むものならば」というのも
仕方がないかと。(ショップ機能以外の話です)
格安の共用サーバーで有名どころと言うと、
ロリポップ、ハッスル、さくら、ドメインキング、FC2 Liteなど
月300~500円のところから、もっと安いものもあるようです。
少し話がそれましたが、
例えばWordPressではなく、BaserCMSなどを使っていれば
今回のようなハッキングには遭わなくて済んだのか。
サイト単体で言えばそうでしょう。
しかし、サーバーが共有である以上、直接でなくとも
横道から侵入されちゃう危険性はあるようですね。
そもそも今回のハッキングはWordPressの問題ではなくて
サーバー内の設定の問題だという指摘もあるようですし。
はぁ悩ましい。
それでもWordPressを使い続ける理由はなんでしょう。
というのがタイトルでしたね。
私が初めて触れたブログは、実はレンタルブログでも
WordPressでもなく、MovableTypeでした。
動的なWordPressに対して、静的と表現されることが多いMovableType。
プログラムにそんなに詳しいわけでないのですが、
固定のページに対して記事を書きだすため、更新などでの構築(再構築)が
めんどうで、レンタルブログに乗り換えました。
その後WordPressへ。
WordPressの良さは、
あくまでも私見ですが、
利用価値の高いプラグインの多さと
マニュアル・解説・書籍の豊富さ、でしょう。
「この部分をこうしたいんだけど」と思って検索すると
大抵はヒットする。
例えば、コンタクトフォームやフックをかける、プラグインの豊富さ等々。
それらを駆使しつつデザインを盛り込むと、制作費用がかさむので
どシンプルなテンプレート(テーマ)を提供していますけどネ。
コンテンツの量が莫大であれば、デザインは的確なナビゲーションのみでもいいのかな、と。
(※コンテンツの質は、量が蓄積されれば自ずと上がっていきます。)
というわけで、
WordPressを使い続けるのでした。
サーバーは…。
! おっと書き忘れるところでした。
WordPressをお使いの初心者の方は以下に注意。
※特にロリポップサーバーご利用の方。
▲ログインユーザー名を「admin」にしない。
▲ログインパスワードは意味を成さない英数字混合で「強」になるように。
▲WordPress本体は常に最新バージョンにする。
▲使っていないテーマは削除しておく。
▲使っていないプラグインは削除しておく。
▲プラグインも常に最新バージョンに。
▲あやしいプラグインは使わない。
▲FTP接続ツールで、wp-config.phpファイルのアクセス権限(パーミッション)を
「400」にする。
▲FTPツールで、.htaccessファイルのパーミッションを「604」にする。
▲ロリポップサーバーをお使いの方は、サーバー管理画面の
WebツールからWAF設定を「有効」にする。
▲WordPressダッシュボードのエクスポートからバックアップを頻繁に取っておく。
これくらいしておけば、ハッキングされたりサイトそのものが復活できないほど
改ざんされても、自分のサイトだけはなんとか復旧できるし諦めもつくでしょう。
改ざん後のサイトがよそ様に悪さするようなものだと
ちょっとやっかいですが、それでも抗弁は立つでしょう。か?!