オープニング:自動更新を設定していてもハッキングされる?
皆さん、こんにちは。Webフリーランスエンジニア、Toshi Seitoです。
ひとりビジネスのためのWeb戦略研究室は、
個人事業の支払いをフリーランスに役立つ上回りの話から集約に関する話まで、
実体験をもとに皆さんと一緒に考え学んでいく番組です。
今回は、WordPressの自動更新の罠に気をつけようというテーマについてお話ししていこうと思います。
Episode 19でWordPressのメンテナンスについてお話ししたことがあるんですけど、
実は最近ハッキリされてしまったWordPressのサイトを今年2回目だったんですけども、
対応させてもらいました。
その時にお客さんに言われたのが、自動更新していたので問題ないと思ってたという話だったんですけど、
この自動更新設定の罠について今回はお話ししたいと思います。
相談のきっかけ:メールフォーム不具合から発覚した問題
早速なんですけど、冒頭でハッキングされたサイトを見たのが2回目という話をしたんですけど、
今回の依頼の背景についてお話ししようと思うんですけど、
まず最初にお問い合わせしたときに、
最初からハッキングされたとかね、そういう話から始まった仕事ではなくて、
実は最初のきっかけはメールフォームからメールが届かなくなったんだというところから始まりました。
こういうメールフォームからメールが届かなくなったというのは、
エンジニアの方、プログラマーの方だったらだいたい察しがつくと思うんですけど、
SMTP認証してないんじゃないのとかね、そういうことが先に浮かぶわけです。
そういう経緯だって分かっているから、
ベーシックな金額を見積もりにして、
こういう作業を長いでやりますねって感じで、
結構気軽にというか、リピートのお客さんでもあったのでね、
そんな感じでOKしたんですね。
蓋を開けてみたらですね、結構いろいろな問題があったサイトなんですよ。
ハッキングされる、ハッキングされていると気づくまでに結構時間というか、
いろいろプロセスを踏んでるんですけど、
まず一つはハッキングの前にですよ、メール届かなくなった原因の一つが、
実はSMTPの認証の話じゃなかったんですよ。
何かというと、アドコンファームページだったかな?
いわゆるコンタクトフォームセブンを使っていたんですけど、
コンタクトフォームセブンに確認画面をつけるためのプラグインというのがあったんです。
実際いくつかあるんですけど、
アドコンファームとかっていうプラグインがあって、
それも実はもう使えないんですよ。
もうサポートが終わっていて動かないと。
だからそれも原因なんですよね、一つ。
そのアドコンファームというのが動かなくて、
要は次のページに確認ページに飛ぶはずなんですけど、
それ動かないからクルクルクルっていう状態でしたよね。
要は音出せフォームで送信もできなければ確認ページも行かないという状態だから、
お客さんからメール飛ばしたいんだけど、
フォームから送りたいんだけど送れませんっていう話が、
ようやく気づいたという感じだと思うんですよ。
結局SMTPの設定をし終わって気づいたんですよね、
試験しようと思ったら。
なんでこのアドコンファームの話かと、
確認プラグインのせいなのかと思って、
それも改めて直しましたと。
意外な原因:サポート終了プラグインと2年前からのサーバー機能停止
直していよいよ、
それも一応見積もりの中でやっちゃったんですけどね、
そういうアドコンファームのやつも一応代替案として、
マルチステップみたいなのがあるから、それに切り替えて試験しました。
そうすると、試験したら今度は届かないんですよね、メールが。
あれ?ってなるわけですよね。届かなくて、
WPSMTPというプラグインでそのSMTP認証するというのが結構一般的なんですけど、
そこからエラーが出てたんですよ。
エラーを見たらアウトゴーイングみたいな、
要は外に飛ばさないようにしてますみたいなエラーが返ってきてるよと、
そのプラグインがアラートを出してて、
あれ?ってなったんですよね。
あまり見たことのないエラーだなと思って。
それこそAIに聞いてみたら、
これホスティングの方で止めてるよと。
ホスティングの方でそもそもエラーを飛ばさないようにしてる可能性があるから、
ホスティングに問い合わせた方がいいよという話で、
いよいよあれ?となって、
問い合わせする前に一回お客さんのサーバーの中を見せてもらって、
よくあるパターンなんですけど、
ホスティングで止めてる場合って必ずアラートっていうか、
メッセージ来るはずなんですよ。
メールか何かしらで。
理由が明らかになるわけですけど、
見てみたらメッセージボックスに入ってたんですよ。
実は2024年の段階で、
ホスティングからメール送信機能は停止しましたっていうメールが入ってたんですよね。
でも2020年だから2年前ですよね。
2年前におそらくスパムっていうか不正アクセスがあって、
そこから大量にメール送信、踏み台かもしれないですけどね、踏み台にされて、
大量にメール送信のアクティビティが見つかったので、
他の方にも迷惑かかるからストップしましたと。
まあそういう話ですね。
それでようやく、そっかと。
ハッキング発覚と復旧作業の概要
要はハッキングされてるんだなっていうのがわかったよということになって、
いろいろ調べることになったと。
この段階でもう事情を説明して、
こういう対応が必要ですよというお話をクライアントさんにしました。
そうなると、今度はメールを飛ばすために、
そのメッセージの中には、
この対応をしていただいたら再開しますよっていう条件みたいなのがあって、
それを対応しなきゃいけない。
なのでお客さんに対応しなきゃいけないので、
今はまずメールは動けませんと。
しかもこのいくつかの対応をした上で、
再開するための手続きを踏むしかないので、
こういう対応になりますよというお話をしました。
つい最近までどうなってたのってなるじゃないですか。
本当に2024年にメール送信機能止まってるんだけどみたいな。
これおそらくなんですけど、
コンタクトフォームセブもさっき使っていて、
SMTP認証してないって言ってたじゃないですか。
だから本当に最近までかな。
ちょっとよくわかんないんですけど、
SMTP認証なしで何度かメール届いてたってことですよね。
これはこれですごいですけどね。
こんななりすましのGoogleめちゃくちゃ厳しくなってる中で、
ちゃんとコンタクトフォームセブから、
PHPメールっていうプログラムがあるんですよ。
PHPで署名とか無しでポンと送る方法があるんですけど、
それで何とかやってたってことなんですよね。
それはそれである意味すごいなと思ってたんだけども。
いずれにしてもSMTP認証しないと、
お客さんにも自分にもメール届かなくなっちゃうから、
これは対応必要ですよという感じで、
マルウェアの対応とかをすることになりましたというお話ですね。
具体的なマルウェアに対策というか、
今回のどういうことをしたかというと、超ざっくり喋ると、
ワードフェンスというのがプラグインであると。
それでマルウェア検出ができますと。
あとはそのサーバーをお客さんが使っているサーバーって、
Cパネルというのがあって、
これ結構いろんなホスティング会社さんが採用している管理画面というか、
いろいろ設定したりとかする管理画面のよくあるパターンなんですけど、
Cパネルというのを使っていたので、
Cパネルの中にマルウェア検出ソフトみたいなのがあるんですよ、自動で。
それがいい感じにひどくならないように駆除とかしてくれてたんですよね、
止めたりとか、プログラム。
まあでもそれをとはいえでも、
一回ね、そういうアラートが上がっているぐらいだから、
防げなかった部分もあるとして、
そのセキュリティでマルウェアとして検出されているのを削除するしかないと。
で、そういうのをやりました。
災い転じて福となす:Cloudflare導入による高速化とセキュリティ強化
ワードフェンスでもやってスキャンさせて、完全に大丈夫だよねっていうのをまず、
変な話、今は安全ですよっていうのを証明しなきゃいけないので、
スクショとか撮ったりしたりとか。
しかもこのお客さんの場合、
すごい良くないパターンではあるんです。
良くないというか、なるべくしてなったって感じはするんですけど、
4サイトぐらい持ってたんですよ、ワードプレスのサイトね。
で、1サイト、それこそだからお問い合わせがちょっと来なくなったって言ってるサイトは、
今一生懸命、いろいろ作り込みというかブログだったりとか発信とかしてるんだけど、
残り3サイトはほぼ放置してたわけですよ。
で、最初冒頭で喋った通り、
自動更新してるから全然問題ないと思ってたって話。
これちょっと後でもう一回喋りますけど、
何が問題だったかって話はしますけど、
ほぼ放置だったんですよ。
それが良くなかったんですよね。
4サイト分、結局それ全部チェックとかしなきゃいけなくて、
まあまあ大変だったと。
でも4サイト分チェックして、マルウェアないの確認して、
あとはクラウドフレアのTanzileっていうのがあるんですけど、
お問い合わせフォームに防御する、スパムボットを防御するための
そういったやつを入れると、機能を入れる。
あとログインとかも全部セキュリティ、
オーリンセキュリティっていうのをプラグインに出て、
ログインにもちゃんとTanzileが入るようにしたり、
コメントにもTanzileが入るようにしたりとか、
とにかくガチガチにセキュリティで固めたと。
で、もちろんそれだけでも良かったんですけど、
今後のためというか、
極端なことで言うとこうやってマイナスをゼロにするような作業じゃないですか。
要はしょうがないんですけどね。
お客さんの管理の話だから。
なんでそれだとちょっと、
なんていうかこっちもゼロにするだけの対応って申し訳ないから、
せっかくだからクラウドフレアに乗せません?
経由しません?
お客さんその時クラウドフレアって知らないですけど、
クラウドフレアっていう、
なんて言うんですか、CDN、
多分このプロトギャスターも1回くらい喋ったことあるかもしれないんですけど、
CDNって言って、1回そのプロキシみたいなのを通して、
それで1回クラウドフレアを通しちゃえば、
実際にアプリに入ってくる前に、
WAFっていうのが防御してくれたりとか、
確実にこいつ怪しいよねみたいな、
このアクセル怪しいよねみたいなのを
結構ブロックしてくれたりするんですよ。
クラウドフレアってCDNなので、
例えば画像とかもキャッシュしてくれたりとかね、
コンテンツキャッシュしてくれて、
パッと表示させるとか、
要はスピード対策にも使われることがあるんですよ。
クラウドフレアっていうのもそういうのもあって、
だからスピードアップもできるし、
さらに安全になるよと、
しかもこういう安全を確保できましたよっていうのを伝えるのに、
いい印象を与えられるので、
クラウドフレアも入れましょうよってことで、
一応そのクラウドフレアの導入も一緒にしてもらったと、
一応追加料金になっちゃうんですけども、
マイナスからゼロにするよりも、
せっかくだからスピードアップとか、
より安全になった方がいいじゃないですか。
そういう提案でクラウドフレアまで導入したということですね。
復旧後の対応とホスティング会社との連携
そういうことをやったと。
この話はもうちょっと詳しい話はブログにいずれ書こうと思っているので、
興味がある方はブログ見てもらえればなと期待しているので、
見てほしいなと思うんですけど、
多分これ放送することにはブログのリンクは貼っていると思います。
これらの対応を一応して、
あとはホスティング会社さんに、
こういうことを知ってましたよと、
全部きれいにまとめてお話ししたら、
即日っていうんですけど、
一応大丈夫そうですねと。
ただ制限付きで、
申し訳ないんだけど、
一日何通もくれないようにするみたいな形ですよね。
制限付きで一応開放します。
ただ全開放じゃなくて、
一応どのくらいの期間見るかはちょっとわからないんですけど、
ある程度の期間見て、
もう全然大丈夫だねってなったら全開放みたいな、
メール好きな使い方をするよみたいなことを連絡いただいて、
とりあえず再開はできたので、
めでたしめでたしという感じですね。
今とおり丸目だったり、結局どこにファイルがあるかというと、
たまに全部検出できなかったり、
バックドアっていったりするんですけど、
ほんの一個のファイルだけで、
自由にアクセスできるようになっちゃったりするんですよ。
これが丸上の結構つらいところで、駆除の。
だから実際私セキュリティの専門家じゃないから、
これで全部安全ですよってはっきて言えないんですよね。
でもある程度その、何て言うんですかね、
先ほど言った経過措置みたいなことだから、
本当にある一定期間何もなければ、
とりあえずは大丈夫だねって一応そういう風に、
時間で見るしかないって感じですね。
また再発するかはわからないという感じですね。
なので一応監視も必要ですね。
ということで今、これ放送する段階ではどうなるかわからないけど、
一応監視している。
今の段階では監視中という感じです。
WordPress自動更新の罠①:更新機能が無効化されていた可能性
たまたまこの話を全部詳しくはしてないんですけど、
そうですね。
自動更新の話をしようと思うんですけど、
今回のテーマはさっき、
このテーマは自動更新の罠って話しましたよね。
今回のお客さんのちょっと良くなかったってやつに、
さっき言ったとおり、
4つもワードプレスを持っていて、
4つを全部管理しきれてなかったわけですよね。
変な話、めんどくさいんですよ。
やっぱり自動更新って。
今回のお客さんの場合、
残りの3サイト、放置していた3サイトのうち、
1サイトが攻撃されたわけですよ。
お問い合わせ頂いた相談されたサイトではなくて、
実は攻撃を受けたのは別のサイト。
しかも1個攻撃を受けたサイトって、
どんなことになったかっていうと、
そのwp-configに設定をかけるんですけど、
いわゆる更新メニューが消えてたんですよ。
更新メニューが消えてるってどういうことかって話じゃないですか。
最初これハッキングなのかなと思ったんですけど、
これよくよく調べると、
やっぱり意図的に入れられた設定で、
要は管理者が更新できなくする設定なんですよ。
なんでこんな設定が必要なのかよくわかんないんですけど、
よくよく見ると、
これはユーザーさんで、
私じゃない別のユーザーさんも入ってたんですよ。
ひょっとするとその方がカスタマイズで入って、
そういう設定をした可能性もありますよね。
ちょっとわからないですけどね、
その方がそういうことをしたのかわからないですし、
確認しようがないんですけど、
そういうことをしないと更新メニューが消えるってことは絶対ないんですよね。
ハッキングのせいなのかわからないですけど。
WordPress自動更新の罠②:未使用の公式テーマを放置するリスク
要はそれがあったので自動更新にならないで、
ずっと放置ですよね。
また良くなかったのが、
今回攻撃受けたのってプラグインとかじゃなくて、
実は公式テーマだったんですよ。
公式テーマって、
メジャーアップデートのために、
実は勝手にインストールされるんですよ。
今回受けたテンプレートが2021っていうテンプレートで、
2021年のメジャーアップデートの時にリリースされた公式テーマなんですけど、
それが攻撃されてました。
実際はテーマも自動更新設定で確か勝手にされるはずなんですよ。
だから自動更新さえしてれば、
別に多分攻撃って受けなかったんでしょうけど、
なんつったって更新メニューが消えてたから、
攻撃されちゃいましたね。
古いままの状態だったので、
それが見事狙われてしまったって感じですね。
ここでちょっと言いたいのが、
テーマも今言ったように、
メジャーアップデート5.何?
今は6系ですと思うんですけど、
6.0から6.1とかなるタイミングで、
さっき言った通り結構大きなメジャーアップデートの時に、
6.1とかそっちかわからない。
7系とかかもしれないですけどね。
大きいアップデートのとにかく勝手に
ワードプレスのテンプレートがインストールされると。
その時に使わないときはやっぱりね、
削除しないといけないんです本当は。
で、その、
そういう更新メニューが消えてる状態で、
テンプレート消すとかできるかよくわかんないんですけど、
いずれにしても、使わないテーマは全部消す。
プラグインも消す。
使わないものは消すっていうのは結構鉄則です。
このワードプレスを使う上では。
そういうもんね、使ってないから問題ないだろうと思われると、
そこからもう本当に普通にバックドアとか仕掛けられて、
攻撃されて、
今回みたいになっちゃうってことなので、
とにかく消してほしいんですよ。
WordPress自動更新の罠③:「WP-Cron」の仕様とアクセスがないサイトの盲点
自動更新のことをもう少し喋ると、
ワナーっていう話ですると、
アクセスがあって初めて更新って発したりするんですよ。
ワードプレス自身は、
自動でクロンって言ったりするんですけど、
サーバークロンとか言ったりするんですけど、
何時何分にとか、
一時間ごとにとか、
一日ごとにとかって、
自動で何かを走る機能ってワードプレス自身は持ってません。
なので、
どうしてもそういうことをしない人は、
サーバーのクロンってやつで、
PHPを動かすみたいなことをするんですけど、
そんなに一般の方はできないじゃないですか。
なので、
ワードプレスは、
誰かがアクセスしたらっていう時に、
何かタイミングが合えば、
Qを回すみたいなことをして、
ワードプレスの更新とか、
さっきのプラグインの自動更新、
今テーマの自動更新とか、走るようになってるんですけど、
そのサイトってさっき言ったとおり、
放置してて、おそらくほとんどアクセスなかったと思うんですよ。
だからこそ、またこれも、
一つの罠ですよね。
アクセス全くないサイトほど、
攻撃されちゃうんですよ。
放置してるサイトこそ、
攻撃されてしまうと。
そういうことなので、
管理の限界:特化サイトの量産と保守的デメリット
やっぱりね、皆さんね、
放置は良くないんですよ。結局放置は良くない。
で、ちょっと繰り返しになっちゃうんですけど、
4サイトもワードプレス一人で管理してるので、
むちゃくちゃ大変ですからね。
このお客さんは、
特価サイトみたいな形で、
サービスごとにワードプレスを作ってたんですよ。
でも、この方の場合は、
会社とかじゃなくて、個人の方なんですよね。
その特価型にするのは、
確かにSEO的にも良いんですよ。
良いんですよというか、
そんなに流行った時期があったというか、
それはそれで有効だと私は思ってるから、
良いんですけど、
私も実際そういうことやってたことあるし、
でも実際結局、
私でもそういう特価型サイトが
管理するのがやっぱりしんどくなってしまって、
やっぱり1個のサイトに集約しちゃいましたね。
なので、
管理できるだけのワードプレスしか
やらない方が良いというか、
普通の人は1個のサイトだけで
多分相当大変。
1個も更新、ちゃんと真面目にやってる人だって
そんなに多くはないと勝手に思ってるんですけど、
いずれにしてもそういうね、
3サイトも4サイトも持つというのは結構大変なんですよ
って話ですね。
まとめ:放置は最大の罪、プロに任せるか自ら管理するか
なのでそれも面倒になるぐらいだったら、
もう本当に害虫にするとか、
保守サポートをお願いするとか、
1回こうやって
発見されてしまうと
ずーっとずるずるこうやって
サポートしなきゃいけなくなって
お金もやっぱりかかってしまうとね。
マイナスにかけるやつですからね、これ。
プラスにお金かけるんじゃなくて
マイナスをゼロにするような対応に
お金かけるってもったいないじゃないですか。
なので、
なるべくはね、
なるべくはねじゃなくて絶対に
大切にしてください。
ワードプレス放置っていうのは絶対やめてください
という話です。
という感じですかね。
私の話も言いましたと思うんですけど、
とにかくいくつもワードプレスを
管理するというのは結構お勧めしませんよ
って感じですね。
今回はワードプレスの
自動更新のわない気をつけようについて
話してきましたがいかがでしたでしょうか。
ワードプレスは集客するための
サイトだし、本当に今でも私は優秀だと
思ってます。
メンテナンスをしっかりしておかないと
マイナスの面がどうしても出てきて
しまいますと。
なのでワードプレスのお使いの皆さんは
自分でやるなら、
自分でメンテナンスを
管理したいと思うんだったら
しっかりアップデート、逆にアップデートさえしてれば
こんな風なハッキングとかは
基本的に起きませんので
逆に本業
専業に
専念したいという人はプロに任せたほうが
絶対安心ですからね。
そういった意味で、私ももちろん
補修とか対応してますし、
その周りの資格の方に
お願いするでもいいので、ぜひ
ワードプレスを大切にしてもらいたいなと思います。
この番組では
番組へのメッセージとエンディング
ご意見ご感想リクエストを受け付けています。
番組詳細欄のリンクから
お気軽にお送りください。
Xではハッシュタグ
ウェブ戦略研究室をつけて投稿してください。
またSpotifyや
Apple Podcastではレビューもできますので
こちらからもご感想など書いていただけたら
励みになりますのでよろしくお願いします。
それではまたお会いしましょう。
お相手はフリーランスエンジニアの
トリスレイトでした。
