コメントを投稿するにはログインが必要です
ログインページへ
ひとりビジネスのためのWeb戦略研究室【今回のエピソード】
「WordPressの自動更新を有効にしているから、もうメンテナンスは不要」……もしそう思っているなら、今回のエピソードは必聴です。
先日、今年2件目となる「ハッキング被害に遭ったサイト」の復旧対応を行いました。クライアントさんは自動更新を設定していましたが、なぜか2年も前からサーバーを「踏み台」にされ、メール送信機能を止められていたのです。
なぜ自動更新が機能しなかったのか? そこには3つの大きな「罠」がありました。
設定で更新メニュー自体が消されていた可能性
「無効化」して放置していた公式テーマが攻撃の入り口に
「アクセスがないサイトは更新が走らない」というWordPress独自の仕様
マイナスをゼロにするだけでなく、Cloudflareを導入して「以前より速く、安全なサイト」へ生まれ変わらせた復旧の舞台裏と、一人ビジネスで管理しきれないサイトを持つリスクについて、エンジニアの視点でお話しします。
【タイムスタンプ】
00:00 オープニング:自動更新を設定していてもハッキングされる?
01:15 相談のきっかけ:SMTP認証の問題かと思いきや、実は……
02:49 意外な原因:サポート終了プラグインと、2年前から止まっていたサーバー機能
05:40 ハッキング発覚。4つのサイトのうち、放置していた3つが狙われた
07:48 復旧作業:Wordfenceでの駆除と、ログイン周りのガードを固める
09:48 災い転じて福となす。Cloudflare(クラウドフレア)導入で高速化も実現
13:22 罠その①:wp-config.php の設定で更新機能が殺されていた?
15:02 罠その②:未使用の「公式テーマ」を放置するリスク
16:30 罠その③:アクセスがないと更新されない?「WP-Cron」の仕様という盲点
18:00 管理の限界:特化サイトを量産しすぎることの「保守的」デメリット
19:30 まとめ:放置は最大の罪。プロに任せるか、自ら愛着を持って管理するか
【番組内で触れたツール・サービス】
Wordfence : マルウェア検出プラグイン。
Cloudflare (クラウドフレア): サイトの高速化とWAFによる防御。
All-in-One WP Security: ログイン周りなどを強化するプラグイン。
Contact Form 7: お問い合わせフォーム作成の標準プラグイン。
【今回の問題のサイトの対応の詳細】
【案件事例】「自動更新だから安心」は危険!お問い合わせフォームの不具合から発覚したサーバー全体のセキュリティ事故と解決の全貌
【お便り・ご質問はこちら】
番組への感想やご相談、取り上げてほしいテーマのリクエストがあれば、以下のフォームからお気軽にメッセージください。
(※今までのリンクが機能していなかったので修正しました!)
https://forms.gle/rkijdhtbr9vcy1Lp8
ハッシュタグ「#WEB戦略研究室」でのポストもお待ちしております。