再改ざんを防ぐための確認事項・再発防止策・保守運用をまとめました。復旧後の運用の参考にしていただければ幸いです。
この度は、改ざん復旧サービス HACK RESCUE のご利用、誠にありがとうございました。無事に復旧が完了し、まずはひと安心かと思います。
復旧の際には、不正なファイル・コードの除去に加え、SALT キー(ログイン状態を保護する鍵)やパスワードの変更、コア・プラグインの更新、追加のセキュリティ設定もあわせて行っています。
ただし、新しいリスクは日々発生します。復旧後の運用を見直さずに放置すると、再び被害に遭う可能性があります。本ページでは「これから何をすればよいか」を具体的にご案内します。
できるところから順に進めていただければ大丈夫です。
WordPress の再発防止で特に重要なのは、次の3つです。
アップデート
コア・テーマ・プラグインを最新に保ち、既知の脆弱性をふさぎます。最も基本かつ重要です。
バックアップ
復旧後の状態を別の安全な場所に保存。万一の際にすばやく元へ戻せます。
改ざん検知
不正な変更を早期に発見。発見が早いほど影響を小さく抑えられます。
再発防止で最も重要なのが、アップデートです。
WordPress 本体は、継続的にセキュリティ対応が行われている CMS です。一方で、実際の Web サイトでは、テーマ・プラグイン・サーバー環境・パスワード管理・更新運用などによって安全性が大きく変わります。そのため、復旧後は WordPress 本体だけでなく、サイト全体の運用を見直すことが重要です。
WordPress 公式ディレクトリのプラグインは一定の審査を経て公開されますが、すべてのプラグインを WordPress 本体と同じ開発主体が継続的に保守しているわけではありません。多くは第三者の開発者が作成・保守しているため、更新停止や脆弱性対応の遅れがリスクになることがあります。
管理画面にログインした際に更新通知があれば、原則としてすぐに更新します。ログインの頻度が低い場合でも、1〜2 週間に一度はチェックすることをおすすめします。
緊急性の高い更新もあります
脆弱性の深刻度は CVSS(危険度を数値化した指標)で表されます。深刻度が高い脆弱性が公表されると、早ければ当日〜数日で攻撃が始まることがあるため、その場合は定期更新を待たずに対応が必要です。
使っていないプラグインにも注意
無効化していても、ファイルが残っていれば攻撃に悪用されることがあります(2020 年の File Manager プラグインの事例など)。使っていないプラグインは、更新するか削除してください。
更新時のご注意
更新で表示や動作に不具合が出ることがあります。ご自身で更新する際は、必ずバックアップを取ってから行い、更新後に表示・動作を確認してください(お客様自身の更新に起因する不具合は保証対象外)。古い PHP のバージョンでは最新の WordPress を利用できない場合があります。
侵入の入口は、近年このパスワード認証の突破が多くを占めています。納品時には、15 桁以上の強固なパスワードを設定しています。納品後に簡単なパスワードへ変更されると再発リスクが高まりますので、納品時のパスワード、または WordPress の自動生成機能で作成される 15 桁以上のパスワードをご利用ください。
おすすめ:二要素認証
15 桁以上の強固なパスワードであっても、絶対に安全とは言い切れません。もう一段階の本人確認を行う二要素認証の導入をおすすめします。
避けていただきたいこと
短い・推測されやすいパスワードへの変更、複数サイトでの使い回しは避けてください。
復旧後は、新しいバックアップを作成しておきましょう。被害時にサーバー内にあったバックアップは、すでに汚染されている可能性があります。復旧後の状態で改めてバックアップを作成し、サイトとは別の安全な環境(ローカル環境など)で保管されることをおすすめします。
万一の際の状況確認や原因調査のために、サーバー側でのアクセスログ設定を3 ヶ月以上、できるだけ長期間保存しておくことをおすすめします。保存期間が長いほど、追跡できる範囲が広がります。
改ざんをすぐ検知できれば、復旧も早く行え、サイトの停止時間も短く済みます。外部からページの変化を見る方式もありますが、リダイレクト型の改ざんやバックドア(再侵入用の裏口)は見つけにくいという弱点があります。サーバー内に検知の仕組みを置く方式は、より確実に変化をとらえられます。
継続的な改ざん検知をご希望の場合
改ざん検知を継続的に行いたい場合は、姉妹ブランドの WebRepair / CCSI が対応しています。
ご自身で運用を続ける場合は、最低限この4点を守っていただくと安心です。
放置は危険です
復旧後に運用を見直さないまま放置すると、同じ脆弱性や弱いパスワードから、再び被害に遭うことがあります。無理のない範囲で、継続できる体制を整えておきましょう。
経済産業省は、IPA(情報処理推進機構)と共に「サイバーセキュリティ経営ガイドライン」を策定しています。最新の Ver.3.0 では、経営者のリーダーシップのもとでセキュリティに取り組むこと、適切なセキュリティ投資が経営者の責務であることが、より明確に示されています。脆弱性対策・不正アクセスの検知・被害発生時の復旧体制の整備などが求められています。
更新確認・改ざん検知・バックアップ・ログ管理・初期設定・再被害対応を継続的にサポートします。
更新や監視を続ける時間・体制が難しい場合は、専門会社に任せる選択もあります。Web 制作会社がデザインのプロであっても、セキュリティのプロとは限りません。ページの更新や制作は制作会社へ、セキュリティの保守・監視は専門へ、という分担が現実的です。
場当たり的な対応ではなく、「現状確認 → 防御 → 検知 → 対応 → 復旧」という一連の流れで、継続的に安全性を高めます。
| 領域 | 保守で行うこと |
|---|---|
| 現状確認 | 脆弱性や設定不備がないかを、定期的に確認します。 |
| 防御 | 主に .htaccess を利用した不正アクセスの抑制、管理画面の保護、不要ファイルの確認などを行います。X-Frame-Options などの基本的なセキュリティヘッダーを中心に、サイトへの影響を確認しながら設定します。HSTS や CSP など影響範囲の大きい設定は、必要性と影響を確認したうえで個別に判断します。 |
| 検知 | サーバー内のファイル変更を直接確認する整合性監視で、改ざんを早期に検知します。 |
| 対応 | 万一の被害時に、状況の確認と必要な対応を行います。 |
| 復旧 | バックアップからの復旧と、再発防止策を実施します。 |
一般的な外部巡回型の改ざん検知は、公開ページを外側から確認する方式です。この方式は導入しやすい一方で、特定のリファラ・言語・アクセス条件でだけ表示される改ざんや、サイト内のどのページからもリンクされていないバックドアを見つけにくい場合があります。HACK RESCUE の保守では、サーバー内のファイル変更を直接確認する整合性監視を行い、不審なファイル追加・改変を早期に検知できるようにします。
| 検知方式 | サーバー内ファイルの整合性監視(外部巡回型ではありません) |
| チェック対象 | ファイルの変更・追加の差分 |
| 監視間隔 | 定期的に実行します(間隔はプランにより異なります) |
| 対応範囲 | 外部巡回型では拾えない改ざんも検知できます |
| サービス項目 | 内容 |
|---|---|
| 本体・テーマ・プラグインの更新確認 | 最新の状態を保つよう、定期的に確認・更新します。 |
| 改ざん検知 | サーバー内ファイルの整合性監視で、改ざんを早期に検知します。 |
| バックアップ | 復旧後の状態を定期的に取得・保全します(頻度・世代数はプランにより異なります)。 |
| ログ管理 | プランやサーバー環境に応じて、アクセスログ等の保存期間を確認・延長します。 |
| 初期セキュリティ設定 | 主に .htaccess を利用した不正アクセス抑制、不要ファイルの確認などを行います。 |
| 管理画面保護 | ログインページなど、管理画面への保護を行います。 |
| 再被害時の復旧対応 | 保守対象範囲内の再改ざんについては、契約内容に基づき追加費用なしで復旧対応します。 |
改ざん復旧サービス(単体)
復旧後 3 ヶ月間、再改ざんの被害に限り、無料で復旧を行います。
セキュリティ保守契約中の復旧対応
保守対象範囲内の再改ざんについては、契約内容に基づき追加費用なしで復旧対応します。なお、お客様側での設定変更、対象外サイトからの再感染、サーバー・外部サービス側の要因など、契約範囲外の原因による対応は別途ご相談となる場合があります。
HACK RESCUE は改ざん復旧サービス、WebRepair は継続的なセキュリティ保守・運用のブランドです。継続的な保守が必要な場合は、運営元 CCSI の姉妹ブランド WebRepair にて対応しています。
ライトプラン
月額 9,800円(税別)
最低限のアップデート・バックアップ管理を任せたい方向け
ベーシックプラン
月額 19,800円(税別)
企業サイトとして、定期的な更新・検証・バックアップを含めて安全に運用したい方向け
重点保守プラン
月額 29,800円(税別)
改ざん検知、検証環境での事前確認、より手厚いセキュリティ確認まで任せたい方向け
復旧後の運用・再発防止について
継続的なセキュリティ保守や、再改ざん防止の運用についてのご相談を承っています。
電話:03-6822-4789(平日 10:00〜18:00)/メール:info@hack-rescue.com