復旧後のご案内

WordPress改ざん復旧後にやるべきこと

再改ざんを防ぐための確認事項・再発防止策・保守運用をまとめました。復旧後の運用の参考にしていただければ幸いです。

この度は、改ざん復旧サービス HACK RESCUE のご利用、誠にありがとうございました。無事に復旧が完了し、まずはひと安心かと思います。

復旧の際には、不正なファイル・コードの除去に加え、SALT キー(ログイン状態を保護する鍵)やパスワードの変更、コア・プラグインの更新、追加のセキュリティ設定もあわせて行っています。

ただし、新しいリスクは日々発生します。復旧後の運用を見直さずに放置すると、再び被害に遭う可能性があります。本ページでは「これから何をすればよいか」を具体的にご案内します。

復旧後に必ず確認していただきたいこと

できるところから順に進めていただければ大丈夫です。

  • 新しい管理画面パスワードを安全に保管する
  • 簡単なパスワードへ戻さない
  • 可能であれば二要素認証を有効化する
  • 復旧後の状態で新しいバックアップを作成する
  • サイト表示・フォーム・決済・会員ログイン等を確認する
  • SNS連携・ライセンス認証・外部API連携を再接続する
  • 不要な管理者アカウントがないか確認する
  • 今後のアップデート担当者・頻度を決める

再改ざんを防ぐために重要な3つの対策

WordPress の再発防止で特に重要なのは、次の3つです。

アップデート

コア・テーマ・プラグインを最新に保ち、既知の脆弱性をふさぎます。最も基本かつ重要です。

バックアップ

復旧後の状態を別の安全な場所に保存。万一の際にすばやく元へ戻せます。

改ざん検知

不正な変更を早期に発見。発見が早いほど影響を小さく抑えられます。

WordPress本体・テーマ・プラグインの更新について

再発防止で最も重要なのが、アップデートです。

WordPress 本体は、継続的にセキュリティ対応が行われている CMS です。一方で、実際の Web サイトでは、テーマ・プラグイン・サーバー環境・パスワード管理・更新運用などによって安全性が大きく変わります。そのため、復旧後は WordPress 本体だけでなく、サイト全体の運用を見直すことが重要です。

WordPress 公式ディレクトリのプラグインは一定の審査を経て公開されますが、すべてのプラグインを WordPress 本体と同じ開発主体が継続的に保守しているわけではありません。多くは第三者の開発者が作成・保守しているため、更新停止や脆弱性対応の遅れがリスクになることがあります。

どのくらいの頻度で更新する?

管理画面にログインした際に更新通知があれば、原則としてすぐに更新します。ログインの頻度が低い場合でも、1〜2 週間に一度はチェックすることをおすすめします。

緊急性の高い更新もあります

脆弱性の深刻度は CVSS(危険度を数値化した指標)で表されます。深刻度が高い脆弱性が公表されると、早ければ当日〜数日で攻撃が始まることがあるため、その場合は定期更新を待たずに対応が必要です。

使っていないプラグインにも注意

無効化していても、ファイルが残っていれば攻撃に悪用されることがあります(2020 年の File Manager プラグインの事例など)。使っていないプラグインは、更新するか削除してください。

更新時のご注意

更新で表示や動作に不具合が出ることがあります。ご自身で更新する際は、必ずバックアップを取ってから行い、更新後に表示・動作を確認してください(お客様自身の更新に起因する不具合は保証対象外)。古い PHP のバージョンでは最新の WordPress を利用できない場合があります。

パスワードと二要素認証について

侵入の入口は、近年このパスワード認証の突破が多くを占めています。納品時には、15 桁以上の強固なパスワードを設定しています。納品後に簡単なパスワードへ変更されると再発リスクが高まりますので、納品時のパスワード、または WordPress の自動生成機能で作成される 15 桁以上のパスワードをご利用ください。

おすすめ:二要素認証

15 桁以上の強固なパスワードであっても、絶対に安全とは言い切れません。もう一段階の本人確認を行う二要素認証の導入をおすすめします。

避けていただきたいこと

短い・推測されやすいパスワードへの変更、複数サイトでの使い回しは避けてください。

バックアップについて

復旧後は、新しいバックアップを作成しておきましょう。被害時にサーバー内にあったバックアップは、すでに汚染されている可能性があります。復旧後の状態で改めてバックアップを作成し、サイトとは別の安全な環境(ローカル環境など)で保管されることをおすすめします。

ログ保存と改ざん検知について

アクセスログの保存

万一の際の状況確認や原因調査のために、サーバー側でのアクセスログ設定を3 ヶ月以上、できるだけ長期間保存しておくことをおすすめします。保存期間が長いほど、追跡できる範囲が広がります。

改ざん検知という選択肢

改ざんをすぐ検知できれば、復旧も早く行え、サイトの停止時間も短く済みます。外部からページの変化を見る方式もありますが、リダイレクト型の改ざんやバックドア(再侵入用の裏口)は見つけにくいという弱点があります。サーバー内に検知の仕組みを置く方式は、より確実に変化をとらえられます。

継続的な改ざん検知をご希望の場合

改ざん検知を継続的に行いたい場合は、姉妹ブランドの WebRepair / CCSI が対応しています。

自社で運用する場合の最低ライン

ご自身で運用を続ける場合は、最低限この4点を守っていただくと安心です。

  • コア・テーマ・プラグインを1〜2週間に一度は確認・更新
  • 15桁以上の強固なパスワード+可能なら二要素認証
  • 定期的にバックアップを取り、別の安全な場所に保管
  • アクセスログを長期間(3ヶ月以上)保存

放置は危険です

復旧後に運用を見直さないまま放置すると、同じ脆弱性や弱いパスワードから、再び被害に遭うことがあります。無理のない範囲で、継続できる体制を整えておきましょう。

企業サイトでは、セキュリティ対策も経営上のリスク管理です

経済産業省は、IPA(情報処理推進機構)と共に「サイバーセキュリティ経営ガイドライン」を策定しています。最新の Ver.3.0 では、経営者のリーダーシップのもとでセキュリティに取り組むこと、適切なセキュリティ投資が経営者の責務であることが、より明確に示されています。脆弱性対策・不正アクセスの検知・被害発生時の復旧体制の整備などが求められています。

復旧後の保守でできること

更新確認・改ざん検知・バックアップ・ログ管理・初期設定・再被害対応を継続的にサポートします。

更新や監視を続ける時間・体制が難しい場合は、専門会社に任せる選択もあります。Web 制作会社がデザインのプロであっても、セキュリティのプロとは限りません。ページの更新や制作は制作会社へ、セキュリティの保守・監視は専門へ、という分担が現実的です。

保守でカバーする領域

場当たり的な対応ではなく、「現状確認 → 防御 → 検知 → 対応 → 復旧」という一連の流れで、継続的に安全性を高めます。

領域保守で行うこと
現状確認脆弱性や設定不備がないかを、定期的に確認します。
防御主に .htaccess を利用した不正アクセスの抑制、管理画面の保護、不要ファイルの確認などを行います。X-Frame-Options などの基本的なセキュリティヘッダーを中心に、サイトへの影響を確認しながら設定します。HSTS や CSP など影響範囲の大きい設定は、必要性と影響を確認したうえで個別に判断します。
検知サーバー内のファイル変更を直接確認する整合性監視で、改ざんを早期に検知します。
対応万一の被害時に、状況の確認と必要な対応を行います。
復旧バックアップからの復旧と、再発防止策を実施します。

改ざん検知 ― サーバー内ファイルの整合性監視

一般的な外部巡回型の改ざん検知は、公開ページを外側から確認する方式です。この方式は導入しやすい一方で、特定のリファラ・言語・アクセス条件でだけ表示される改ざんや、サイト内のどのページからもリンクされていないバックドアを見つけにくい場合があります。HACK RESCUE の保守では、サーバー内のファイル変更を直接確認する整合性監視を行い、不審なファイル追加・改変を早期に検知できるようにします。

検知方式サーバー内ファイルの整合性監視(外部巡回型ではありません)
チェック対象ファイルの変更・追加の差分
監視間隔定期的に実行します(間隔はプランにより異なります)
対応範囲外部巡回型では拾えない改ざんも検知できます

保守サービス一覧

サービス項目内容
本体・テーマ・プラグインの更新確認最新の状態を保つよう、定期的に確認・更新します。
改ざん検知サーバー内ファイルの整合性監視で、改ざんを早期に検知します。
バックアップ復旧後の状態を定期的に取得・保全します(頻度・世代数はプランにより異なります)。
ログ管理プランやサーバー環境に応じて、アクセスログ等の保存期間を確認・延長します。
初期セキュリティ設定主に .htaccess を利用した不正アクセス抑制、不要ファイルの確認などを行います。
管理画面保護ログインページなど、管理画面への保護を行います。
再被害時の復旧対応保守対象範囲内の再改ざんについては、契約内容に基づき追加費用なしで復旧対応します。

万一の被害時の復旧保証

改ざん復旧サービス(単体)

復旧後 3 ヶ月間、再改ざんの被害に限り、無料で復旧を行います。

セキュリティ保守契約中の復旧対応

保守対象範囲内の再改ざんについては、契約内容に基づき追加費用なしで復旧対応します。なお、お客様側での設定変更、対象外サイトからの再感染、サーバー・外部サービス側の要因など、契約範囲外の原因による対応は別途ご相談となる場合があります。

セキュリティ対策費用は、業種・サイト規模・取り扱う情報・求められる可用性によって変わります。当社では、Web サイトを事業上重要な資産として扱う場合、一定の保守・監視・バックアップ費用を継続的に確保することを推奨しています。

目的に合わせて選べる保守プラン

HACK RESCUE は改ざん復旧サービス、WebRepair は継続的なセキュリティ保守・運用のブランドです。継続的な保守が必要な場合は、運営元 CCSI の姉妹ブランド WebRepair にて対応しています。

ライトプラン

月額 9,800円(税別)

最低限のアップデート・バックアップ管理を任せたい方向け

  • 改ざん検知(1日1回)
  • 毎日のDB・毎週のファイルバックアップ
  • 毎月の脆弱性情報チェック
  • 保守対象範囲内の再改ざん復旧対応

ベーシックプラン

月額 19,800円(税別)

企業サイトとして、定期的な更新・検証・バックアップを含めて安全に運用したい方向け

  • 改ざん検知(6時間ごと)
  • 毎日のファイル・DBバックアップ
  • 毎月の脆弱性情報チェック
  • 緊急度の高い脆弱性の緊急更新
  • 保守対象範囲内の再改ざん復旧対応

重点保守プラン

月額 29,800円(税別)

改ざん検知、検証環境での事前確認、より手厚いセキュリティ確認まで任せたい方向け

  • 改ざん検知(10分ごと)
  • テスト環境構築
  • コア・プラグインの定期更新(月1回)
  • 緊急度の高い脆弱性の緊急更新
  • 保守対象範囲内の再改ざん復旧対応

HACK RESCUE / CCSI の会社情報

商号
Cross&Crown Security Intelligence LLC
代表者
代表社員 増子貴仁
(独立行政法人 情報処理推進機構 セキュリティプレゼンター)
所在地
〒107-0052 東京都港区赤坂8丁目8-10 AKASAKA8BLDG.B1F
電話番号
TEL 03-6721-0925
顧問弁護士
石下雅樹弁護士(東京弁護士会、弁護士法人クラフトマン代表弁護士)
電気通信事業者
A-27-14430
関連サイト
WebRepairCCSI

復旧後の運用・再発防止について

継続的なセキュリティ保守や、再改ざん防止の運用についてのご相談を承っています。

電話:03-6822-4789(平日 10:00〜18:00)/メール:info@hack-rescue.com