ブログを始めて2週間でハッキング被害。復旧までの道のりを解説
「ハッキングされたってどう気付くの?」
「ハッキングが発覚したらどう対処すればいいの?」
「復旧までの一連の流れが知りたい」
ブログを初めて2週間でハッキング被害にあった私の体験談を混じえ解説します。
どのようにして発覚から復旧までに至ったか、1つの例として読んで頂ければ幸いです。(特にブログ初心者でハッキングされた方へ)
目次
結論、私はwordpressの専門業者に復旧してもらいました。
私は、最初個人で復旧しようと試みましたが、サイト運営を始めたばかりで知識が乏しく、不安が強かったので、ワードプレスレスキューさんに復旧を依頼しました。
依頼から4日ほどでクリーンアップが完了し、セキュリティ対策も講じていただきました。費用は初期調査、修理、セキュリティ対策込みで一律税込39,600円。
高く感じる方もいるかと思いますが、プロに任せるという点で私は安心を買いました。
お世話になったワードプレスレスキューさんは→ワードプレスレスキュー
ハッキング発覚から復旧までの流れ
1番最初の現象は、スマホで自分のブログの見やすさをチェックしようとした時に起こりました。海外の通販サイトみたいなのにリダイレクトされてしまったのです。
何度やっても同じのため、調べてみるとハッキングであることに気づきました。
その他のハッキングされた兆候一覧
Googleから通知が来る→「ハッキングされたコンテンツが http://example.com/ で検出されました。」 ヘッダー、フッターにスパム広告が入っている。 サーバー会社などからメールが来る→自身のサイトから迷惑メールが送られている趣旨。
ハッキングに気づいた時にかなり焦りますが、まずは一旦落ち着いてください!(過去の自分に言いたい。)
次に、自力で直した人の記事を見て、修正を試みましたが初心者には結構きつく、また完全に直せる自信(バックドアの排除)がなかったため、別の手段を探しました。
自力で直した方の記事→WordPressでハッキングされてレンサバ凍結から復旧する方法
後々調べて分かったのですが、本当ならハッキングに気づいた時点で、すぐにサイト運営に関係する全てのパスワードを変更した方が良かったそうです。
- ワードプレスのログインパスワード
- レンタルサーバーのアカウントパスワード
その後、ワードプレスの緊急対応をする業者があることを知り、最初に問い合わせたのはwp.rescueさんでした。初期調査5万円+修正10万以上という価格でした。
※wp.rescueさんは企業向けの案件を扱っています。
次に、ワードプレスレスキューさんにたどり着きました。どんなに難易度が高くても、初期調査、修理、セキュリティ対策込みで一律税込39,600円。
※土日、祝日、夜間対応
ここで、現実的に支払いが出来そうなワードプレスレスキューさんに依頼しました。
ワードプレスレスキューさんにお願いした理由
- ホームページに実績が掲載されており、信用度が高い。
- どんなに難易度が高くても一律の金額。
- 復旧までが早い。
- 復旧後2ヶ月間は、無料保証つき。
デメリット
- 簡単に出せる金額ではない。
- ワードプレスレスキューさんよりもコストが安く済むところは存在する。
その他の選択として
- クラウドソーシングで修理を依頼する。ただし、人が見つかるのに時間を要する。
おおよそ4日後に作業完了のお知らせがメールで届きました。
もう一度スマホで自分のブログを閲覧すると同じ海外サイトに移動する現象が見られたため一瞬焦りましたが、担当者さんに確認すると、キャッシュが残っている可能性がありますとのことで、キャッシュを消したら現象は消えました。
ふう〜、良かった。
ハッキングの原因と今後の対策
ハッキングの原因
ワードプレスの管理パスワードが脆弱だった
自分の前回使用していたパスワードが、辞書に出てくるような文字列、規則性がある数字を使用していたからだと考えられます。
また、ワードプレスの管理画面のURLが自分のドメインに/admin/を入れるだけで接続できたからだと思います。
今後の対策
- パスワードの複雑化
- ログイン画面に画像認証を入れる
- こまめにプラグインの更新
- バックアップをとっておく
パスワードの複雑化
最初、「なぜ僕だけが?」と思ったのですが、調べてみるとハッカーは、総当たり戦でランダムにパスワードを攻撃してくるそうなので、パスワードは意味を持たない複雑な文字列にしないといけません。
心当たりがある方はぜひパスワードを複雑なものにしましょう。
- 文字列を増やすと、難易度が上がる
- 頭の中で記憶したいパスワードの場合、数字を英語、英語を文字に変換、また逆もしかり。
※例えば、0をo、3にw、sを$など
パスワードの作り方で参考にした記事
→プロに聞いた、ずぼらに優しいパスワードの作り方【簡単サイバーセキュリティ術】
ログイン画面に画像認証を入れる
→SiteGuardプラグインで導入できます。
こまめにプラグインの更新
→機能追加だけでなく、脆弱性に対しての対策を行っているからです。
バックアップをとっておく
→万が一、被害にあった時にゼロからの復旧を防げれる。また、被害前のデータとの差分を調査するのに役立ちます。
まとめ:ブログを始めて2週間でハッキング被害。復旧までの道のりを解説
いかがだったでしょうか?
最初は信じられませんでした「まさか2週間でハッキング?!」現実を受け入れるのに時間がかかりました。
ハッカーにとってもwordpressのハッキングは初心者向けの教材になるらしいですから、セキュリティ対策も基本的なことは外さないようにしたですね。
僕は挫けずにブログ続けていきますよ!では!!
関連記事
【20代のあなたへ】望まない人事異動。ショックから立ち直る方法 – おたけblog
「まだ社会人数年目なのに、突然の人事異動で望まない部署に飛ばされてショック」 「異動のショックでなかなか立ち直れない」「前向きに捉えたいけど具体的にどうしたらいいか分からない」このような悩みを持った方向けの記事になっています。 過去に望まない異動をくらった私が、どのように乗り越えたのかを、経験を踏まえ解説します。