世にも奇妙な物語にゃ
「WordPress(ワードプレス)は世界中で使われているから安心」 そう思っていた時期が、私にもありました。
前回の記事で、WordPressを最短で形にするために**「プラグインは引き算で考えよう」**とお伝えしましたが、今回はその「本当の理由」をお話しします。これは、私が実際に体験した、背筋の凍るような実話です。
ある日突然、自分のサイトが「誰かのもの」になる
いつも通り自分のサイトを開くと、一瞬で見たこともない海外の怪しいサイトへ飛ばされました。いわゆる「不正リダイレクト」です。さらに、メールボックスには心当たりのない大量の送信エラー通知。私のサーバーが、世界中に迷惑メールを撒き散らす「踏み台」にされていたのです。
慌てて設定ファイルの .htaccess を確認しましたが、中身は正常。 どこを調べても、一見すると異常は見当たりません。
しかし、不正な挙動は止まりません。 犯人は、ファイルだけではなくデータベース(DB)の奥深くや、システムが起動する際に必ず読み込まれるPHPファイルの数千行の空白の後に、巧妙に「呪い(不正コード)」を植え付けていたのです。
パスワードもSiteGuardも「無意味」だった理由
「パスワードは最強の強度にしているし、SiteGuard WP Pluginも入れているから大丈夫」 そう過信していました。SiteGuardは非常に優秀な警備員です。ログインURLを隠し、画像認証で不正なログインを鉄壁にガードしてくれます。
しかし、今回の犯人は**「玄関(ログイン画面)」なんて見向きもしませんでした。**
攻撃の入り口になったのは、便利そうだと思ってインストールした、たった一つの「脆弱性(セキュリティの穴)」があるプラグインでした。
ハッカーはログイン画面を通りません。プラグインのプログラム自体のバグを突き、パスワードすら入力することなく、壁に穴を開けて直接サーバー内へ侵入してきます。 いくら玄関を二重ロックにしても、家の壁に大きな穴が開いていれば、泥棒はそこから音もなく入ってくるのです。
脆弱なプラグインを一つ放置しているだけで、堅牢なパスワードも、鉄壁のセキュリティプラグインも、ただの「飾り」に成り下がります。
最終的な決断は「すべてを空にする」こと
侵入された後、どこに「バックドア(裏口)」を仕掛けられたか、素人目には判別不能です。一つ消しても、別の場所に隠されたコードがゾンビのようにサイトを蘇らせ、再び汚染を広げます。
結局、私はFTP経由でファイルをすべて削除し、データベースも空にするという、苦渋の決断を下しました。 数十、数百時間かけて積み上げてきたものが、一瞬で「無」に帰した瞬間でした。
最高のセキュリティは「入れないこと」
この絶望を味わってから、私のプラグインに対する考え方は変わりました。
- 「おすすめ10選」を鵜呑みにしない
- 1年以上更新されていないプラグインは即削除
- 「便利そう」よりも「本当に必要か」で選ぶ
「引き算の運用」は、単にサイトを軽くするためだけではありません。自分と、自分のサイトを訪れる読者を守るための、最大の防衛策なのです。
もし、あなたの管理画面に「使っていないけれど、なんとなく入れているプラグイン」があるなら、今すぐ削除してください。その「たった一個」が、明日あなたのサイトを消し去る爆弾になるかもしれません。
ITの難しいことはシステムに任せて楽しよう。 でも、**「自分で招き入れたリスク」**だけは、システムでも守りきれないのです
【あわせて読みたい】 WordPressの話はこちらにも
コメント