私のブログLeaving Work Behindは4月にハッキングされました。それはあなたが頻繁に読んだことですが、実際に起こるとは決して期待していません 君は 手遅れになるまで。正直なところ、私は自分を最有力候補とは見なしていませんでした。WordPressのセキュリティについて、十分な予防策を講じるのに十分な頻度で書いています。しかし、これらの対策は明らかに十分に包括的ではなかった.


ハッキングされることは私がもう一度やりたくないものです。ウェブサイトのダウンタイムがブログやビジネスに悪影響を及ぼす理由はたくさんあります。トラフィックの損失と潜在的な収入の2つは最も明白ですが、サイトの復元に費やした時間とストレスの量を過小評価することはできません私を引き起こした.

この投稿では、自分のサイトで何が起こったのかを明らかにし、サイトのセキュリティを強化するために私が何をしたかをお知らせします.

ハッキングされる:私のストーリー

4月18日木曜日に目が覚めたところ、自分のサイトがダウンしていて数時間停止していたことがわかりました。私はすぐにホスティングプロバイダーであるWesthostに連絡しました。そのホストのModSecurityファイアウォールが私のサイトで異常なアクティビティを検出し、予防策としてすぐにシャットダウンしたことを通知しました。サイトで初期復元を実行すると、ハッキングされたことがすぐにわかりました。変更は比較的微妙なものでしたが、悪質な並べ替えがうなずいていたことは明らかでした.

膨大な数のWordPressサイトもハッキングされており、Westhostは彼らの仕事を切り抜いていたことがわかりました。幸い、彼らはサイトのバックアップを毎日取り、次の午後までに、できるだけ最新のバージョンのサイトでオンラインに戻りました。.

ハッキングが私のトラフィックに与えた影響は次のとおりです。

クリック統計

上記のグラフを全体的に見ると、その週のトラフィックは前の週と比べて最大30%減少しました。理論的には、収入が30%減少した.

そのようなハッキングが繰り返されないようにするために、私は(自分の能力を最大限に)確保することに熱心であったと言っても差し支えありません。私はすぐに行動しました.

私の即時ステップ

私が最初に行ったのは、WordPress Webサイトのセキュリティ保護に関する私の最近の投稿で説明されている手順に従っていることを確認することでした.

これらは絶対的な基本事項でした。テーマとプラグインの更新、最新のバックアップの取得、デフォルトプロファイルの名前が「admin」ではないことの確認、パスワードの変更、サイトのセキュリティプラグインの確認です。それらのアイテムを配置したら、次に進む時がきました.

私のサイトが100%安全であるという幻想はありません。結局のところ、100%安全なサイトというものはありません。そうは言っても、以前よりもはるかに安全であることはわかっているので、今後もサイトのセキュリティ対策について研究を続けていきます。これまでのところ、これは私がやったことです.

1. VaultPressをインストールしました

知らない人のために, VaultPress WordPressの完全に自動化されたバックアップおよびセキュリティソリューションです。それが所有しています 自動, WordPressの事実上の「所有者」.

数日間VaultPressを使用していたので、事前にサービスに悩まされていなかったほど安かったとは思えません。彼らの基本パッケージは月額$ 15から始まります–私は平日のいつでも安心のためにそれを支払います.

実際、私は以下を含むプレミアムパッケージ(月額$ 40)を選択しました。

  • リアルタイムバックアップ
  • ワンクリックサイトの自動復元
  • アーカイブ、統計、アクティビティログ
  • 優先災害復旧
  • 優先的な「コンシェルジュ」サポート
  • 毎日のセキュリティスキャン
  • セキュリティ通知
  • セキュリティの脅威に対するワンクリック修正プログラム
  • サイト移行支援

基本的に、彼らはあなたをカバーしています.

VaultPressはハッカーに対するサイトのセキュリティを保証できませんが、ほとんどの場合 できる 比較的簡単にサイトを復元できることを保証します。 VaultPressのサーバーに保存されているサイトの1時間ごとのスナップショットを見ると、非常に落ち着くものがあります。

VaultPressバックアップ

無料のバックアップソリューションはたくさんありますが、VaultPressで得られる比較的安心感に勝るものはないと思います。現在、復元できるサイトのスナップショットが90あります。最新のものはわずか20分前のものです。私のサイトは彼らの手の中に安全であることを知っています.

2.プロファイルを管理しました

ハッカーは、WordPressバックエンドだけでなく、WordPressバックエンド内の任意の管理者プロファイルからサイトにアクセスする可能性があります 君は 使用する。プロファイルをロードすると、他に3つのプロファイルがあることがわかりました。ゲストのポスタープロファイルと、自分のサイトへのアクセスを許可した(信頼できる)人のためのプロファイルが2つあります。.

まず、これら2つのプロファイルをシャットダウンし、ゲストの投稿者プロファイルの役割を作成者に変更しました。これは私がお勧めすることです—絶対に必要な数の管理者プロファイルのみを作成してください。さらに、もちろん、各アカウントが適切にランダムで一意のパスワードであること、およびこれらのパスワードが定期的に変更されることを確認する必要があります.

(ウェブデザイナーなどの)人にサイトへのアクセスを許可する必要がある場合があります。そのような状況では、新しいパスワードで彼らのプロファイルを作成し、必要がなくなったらすぐにそのプロファイルを削除することをお勧めします.

常にサイトのエントリポイントを考慮し、それらが厳密に必要かどうかを検討する.

3.パスワードを変更しました

これは当たり前のことだと思うかもしれませんが、実際にはWordPressのパスワードについて話しているのではありません。私は した それらを変更すると、すべてのパスワードを特に機密性の高いアカウントに変更することもできました。

  • Gmail
  • フェイスブック
  • ツイッター
  • 私のホスティングアカウント
  • アマゾンアソシエイツ

なぜ私がこの動きをしたのか疑問に思っている場合は、元々Amazonアカウントにハッキングしたハッカーによってデジタルライフ全体が破壊されたMat Honanの話を考えてみてください。オンラインセキュリティについてなんらかの冒涜を感じる場合は、上記の記事は必読です.

この単純なチェーンについて考えてみましょう。ハッカーがあなたの電子メールアカウントにアクセスし、そこから最近WordPressサイトへのログイン詳細を記載した電子メールをウェブデザイナーに送信しました。それは彼らがあなたのサイトにアクセスし、好きなようにするために必要なすべてです。ハッキングはその初歩的なことができます.

4. SFTPにアップグレードしました

FTP経由で転送するデータ(ユーザー名とパスワードを含む)は完全に暗号化されていません。したがって、FTP転送のインターセプトに成功すると、ログインの詳細を取得してアカウントにアクセスできるようになります。.

これにより、必要に応じてファイルを追加および削除できるだけでなく、phpMyAdminを介してWordPressデータベースにアクセスし、最終的にサイトにログインすることができます。.

簡単に言えば、ハッカーがFTP経由で侵入できる場合、WordPressサイトへの直接アクセスがどれほど安全かは問題ではありません。そのため、サイトへのFTPアクセスを無効にし、代替のSFTPプロトコルを使用してファイルを転送することを強くお勧めします。 する データを暗号化します。優れたホスティングプロバイダーであれば、これをサポートできるはずです。.

ホスティングプロバイダーといえば…

5.ホスティングソリューションの適合性を検討する

ウエストホストと一緒にいてよかった。最初にハッキングを発見し、深刻な被害が及ぶ前に私のサイトをシャットダウンしたのは、彼らのModSecurityファイアウォールでした。また、(サイトの復元に使用された)自動日次バックアップを実行し、顧客サポートをクラックして起動します。.

あなたのホスティングプロバイダーについても同じことが言えますか?非常に多くの優れたオプションがあり、不満のあるプロバイダーと一緒にいるのは夢中になるでしょう。 WPExplorerが最近行ったように、マネージドホスティングソリューション(WPEngineなど)の1つに切り替えることを検討してください。.

どちらを選択する場合でも、セキュリティ対策について必ずお問い合わせください。上記の対策を検討し、それらがあなたのホスティングソリューションと互換性があることを確認してください.


この話の教訓は次のとおりです。セキュリティに妥協しないでください。結局のところ、サイトを安全に保つことは、 何でも そうしないと。あなたのサイトが冷酷なハッカーによって細断されて引き裂かれているため、誰もそれを見ることができなければ、素晴らしいコンテンツや斬新なデザインを使用しても意味がありません。.

人々のサイトをハッキングすること以上に生活と関係のない悪質なタイプは、すぐになくなることはないでしょう。それを受け入れ、サイトが攻撃されないように保護するための合理的な措置を講じるほど、オンライン資産の長期的なセキュリティが向上します.

私が取った措置について、あなたがどう思うか知りたいです。他に推奨することはありますか?コメント欄でお知らせください!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me