WordPressサイトがハッキングされて403エラーに：原因、サイト復旧までの道のりとセキュリティ対策について

ブログ、ハッキングされたってよ

WordPressはセキュリティ対策が肝。そう実感させられる経験をしました。

そう、先日このブログがハッキングされたのです。

何が起こったのか、原因は何だったのか、また同じことを防ぐためにどのようなセキュリティ対策を行ったのか、長くなりましたがメモしておきます。

ブログダウンは突然に

そう、それは突然のことでした。私が利用しているエックスサーバーさんから、こんなメールが届きます。

実際にサイトにアクセスしてみると、403エラーが出て完全にブログがダウンしています。

原因は何か

エックスサーバーさんからのメールが続きます。

エックスサーバーさんからの回答と、自分自身の状況から読み取れたことは下記。

これ、４〜６どれから起こっていてもおかしくないやつ……！っていうか海外在住とはいえ、自分でセキュリティ弱くしてるし国外からのアクセス許してるってもう自業自得……！！

という訳で、しっかり反省してサイトを復旧させ、４〜６のセキュリティ対策を練ることになりました。

バックアップだけは最低限取ってて本当良かった……。

サイトの復旧で大変だったこと

ドメイン上のデータ全削除

エックスサーバーさんからの指示は、結構大変なものでした。

地道にサイトを設定しなおして復旧

そこからはもう、地道・地道な復旧。エックスサーバー利用者向けの備忘録として簡単にステップを載せておきます。

1. エックスサーバーさんからの指示に従い、独自ドメインをすべて削除。初期ドメインを初期化。FTPで、なにか余計なファイルが残っていないか確認。データも何もかも綺麗さっぱり消えました。
2. エックスサーバーさんに連絡。サポート体制がしっかりしているので、翌日には連絡が来て、とりあえず403エラーを解除。
3. ドメインを再設定。サイトにアクセスすると、こんな表示になりました。

   

4. WordPressをインストール。エックスサーバーのサーバーパネル、左メニューから「WordPress簡単インストール」を選択し、必要な情報を地道に入れていきます。

   

   一番下の「データベース」にて、これまで使っていたデータベースを使用しようとするとエラーが出ます。「空状態のデータベースをご指定ください」となっているので、しぶしぶ新しいデータベースを指定した後、後からwp-config.phpのデータベース諸々を入れ替えました。
   
   この辺り、ベターな方法をご存知の方いらっしゃれば教えてほしいです……。
   「データベースのパスワードなんか控えてない！」という私みたいな方は、エックスサーバーのサーバーパネルから「MySQL設定」＞「MySQLユーザ一覧」というところからパスワードを変更可能です。
5. WordPressが無事にインストールできたら、バックアップデータを開き、FTP経由で必要なファイルを入れ直します。「wp-content」と「wp-includes」フォルダから、テーマ・プラグイン・画像データなど、必要なものだけを戻します。
   バックアップだけは最低限取ってて本当良かった……（２回目）。
6. ここまですると、とりあえずサイト復旧は完了。ただ、根本原因であるセキュリティは別途対策する必要があります。

WordPressサイトのセキュリティを強化するうえでやったこと

当たり前なところから点検し、手をつけて行きました。

1. WordPressのパスワードを、より強固なものに変更。FTPなどのパスワード含めて、弱そうなもの・使いまわしていたものは全部変更。
2. WordPressのバージョンが最新であることを確認。自動更新もOnに。
3. エックスサーバーのサーバーパネルから「php.ini設定」を確認。これはエックスサーバーさんからのメールで、PHPプログラムを利用している場合はここの設定をOFFにすることを強く推奨されていたため。「allow_url_fopen」と「allow_url_include」がどちらも「無効（Off）」であることを確認。
4. WordPressのセキュリティプラグイン「SiteGuard WP Plugin」を入れ、ログイン画面を変更。「<サイト名>/wp-admin/ 」で誰でもアクセスできてしまう状況を変更し、別のログイン用URLを発行する。
5. さらに、WordPressのセキュリティプラグイン「miniOrange 2 Factor Authentication」を入れ、WordPress管理画面の二段階認証を設定。
6. プラグインの見直し。15個以上プラグインが入っていたため、どうしてもプラグインが多いと脆弱性が生まれやすい状況ではありました。私の場合、ここは無料テーマから有料テーマの「THE・THOR(ザ・トール)」に変更することで解決。入れているプラグインは自動更新をOnに。
   ※実はこの決断が思った以上に良かった。正直ザ・トールのおかげでサイト管理に関する色んな面の悩みが減り、コンテンツに集中できるようになりました。現在プラグインで入れているのは、上記のセキュリティプラグイン、アンチスパム、バックアップ、画像最適化など６つだけ。
7. 有料テーマ「THE・THOR(ザ・トール)」のセキュリティ設定から、WordPressログイン画面にIDではなくメールアドレスでログインできるように設定（実はログインIDを推測するのは簡単）。
8. 海外在住者にとってはここが肝。エックスサーバーの「WordPressセキュリティ設定」内にある、国外IPアクセス制限の項目をすべてOnに変更。日本在住かつMarsEditなどのエディタを使わない場合はここの設定をそもそもOffにする必要すらありません。

   

   1. とはいえ、海外在住の場合はこれをやると、自分のサイトにアクセスできなくなってしまいます。対策として、個別のIPアドレス（自分のIPアドレスだけ）を指定して制限を解除することで、この設定をOnにしたまま海外からでもアクセスできます。詳細はこちらの記事にお世話になりました。
   2. XML-RPC APIアクセス制限を解除することでMarsEditを使えなくなりました。オフラインでガンガンブログを編集できるので、このブログを始める前、世界一周をしながら仕事をするうえではすごく役に立っていたのですが、現状コロナウィルスの影響もありオフライン作業をする必要もなくなりました。現在はアクセス制限をOnにしたうえで、WordPressエディタで編集しています。が、たまに標準エディタで予想外のバグが生じることがあるので、将来的にはなにか対策をしようかなと考えています。

       

9.  サイトの常時SSL化。
   1. エックスサーバーの「SSL設定」から「独自SSL設定追加」を選択。
   2. サイトを常時「https://～」にしたい（常時SSL化）場合、.htaccessを編集をする必要があります。下記を参照してください。
      

      独自SSLの設定が完了した時点では、自動的に「https://～」のURLへ転送されません。

      Webサイトにおけるすべての表示を常時SSL化する場合は、「.htaccess編集」で以下の記述を追加します。

      RewriteEngine On
      RewriteCond %{HTTPS} !on
      RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

      「http://～」のURLでアクセスした際、自動的に「https://～」のURLへ転送されていれば設定完了です。

      参照元：https://www.xserver.ne.jp/manual/man_server_fullssl.php

ハッキングの標的になって思ったこと

• WordPressブログを運用するうえでセキュリティ対策は必須。ハッキングされる前にやっておく。
• いざというときのためのバックアップ大事（３回目）。