2017年の3月にこのサイトが改ざんされました。
原因はWordPressのセキュリティホールをついた攻撃でこのサイトだけでなくかなりのサイトが改ざんされたようです。
原因はこのサイトがWordPressのVer4.7.1を使っていた為で、このバージョンでは表示されたページである操作をするとWordPressのユーザ認証なしにコンテンツとURLの改ざんができてしまうセキュリティホールがあったようです。
サイトの復旧は下記方法で実行しました。
①コンテンツ
WordPressのレビジョン管理から復旧させましたた。
②URL改ざん
URLの復旧はマニュアル操作で復旧させました。
当然、今後この手の改ざんが起こらない様にWordPressのバージョンは4.7.3の最新版に更新しました。
メモ
最近のWordPressは危険なバージョンが発見されると、自動でWordPressを更新してくれるようになったので、この様な問題は起こらなくなったと思います。
1.どれ位アタックがあるか?を確認する
WordPressにどれ位アタックがあるか?は下記プラグインで確認できます。
1-1.「SiteGuard WP Plugin」のインストールと有効化
プラグインの新規追加画面で「SiteGuard WP Plugin」で検索します。
■今すぐインストールを実行後、有効化します。
このプラグインはログイン画面もデフォルトで変更してしまうので、その設定を元に戻します。
1-2.「SiteGuard WP Plugin」の設定の変更
①「ログインページ変更」を実行します。
通常管理画面に入るには「wp-admin」で入りますが、これをこの画面の様な形に変更する画面です。
OFFにし「変更を保存」を実行します
②「画像認証」を実行します。
ログインページ等にひらがなを入力させるBOXが表示されます。
OFFにし「変更を保存」を実行します
以上で通常をWordPressのログイン画面になりました。
1-3.どれ位アタックがあるか?の確認
「SiteGuard → ログイン履歴」を見ると確認できます。
1-4.SiteGuardの良い所
「SiteGuard」の良い所は、ログイン履歴が見れる以外にWordPressやプラグインの更新バージョンがある時にメールで知らせてくれるところです。
「SiteGuard → 更新通知」を見て下さい。
1-5.SiteGuardで絶対、やってはならない事
「SiteGuard → XMLRPC防御」を開いて下さい。
■XMLRCを無効化すると、WordPressが動かなくなります。
XMLRCを無効化してしまった場合の復旧方法
「XMLRCを無効化」を実行すると「.htaccess」に変更が加えられた結果、WordPressが動かなくなります。
「.htaccess」を開いて、「SiteGuard」が書き込んだ所を削除して下さい。これで復旧します。
2.WordPressに2段階認証を設定する
「SiteGuard」でもログインのセキュリティ対策はありますが、「Google Authenticator」の方がお勧めです。
利用しているスマホに「Google認証システム」をインストールします。
2-1.2段階認証の設定
①プラグイン「Google Authenticator」をインストールして有効化します。
プラグインの新規追加画面で「Google Authenticator」で検索します。
■今すぐインストールを実行後、有効化をします
②ダッシュボードの「ユーザ→あなたのプロフィール」を開く
メニュの「ユーザ→あなたのプロフィール」を開きます
■プロフィールの中に「Google Authenticator」のメニュが追加されます。
③Google Authenticator Settingsの各項目を設定します。
プロフィール画面の中に下記項目が追加されます。
■「Active」にチェックを付けます。
■「Relaxed mode」にチェックを付けます。
これはサーバとスマホの時刻が少しずれてもOKにするモードです。
この設定はスマホのコードが変わっても3分以内ならOKなので慌てずにログインできます。
■「Description」に任意の名前をいれます。
これはデバイスの2段階認証アプリに表示される名前です。
英数字でどのアプリか分かる名前を付けて下さい
■「Show/Hide QR code」ボタンを挿入するとQRコードが表示させるので、スマホの2段階認証アプリで読み込みます。
「Google認証システム」の画面で+ボタンを挿入しQRコードを指定して読み込みます。
■最後に「プロフィールの更新」で終了します。
以上で設定は終了です。
4-2.ログインの仕方と障害対策
WordPressのログイン画面画面が下記に変更されます。
①ログイン方法
スマホに表示された6桁のコードを「Google Authenticator code」欄に入れてログインします。
メモ
上記画面は「Google Authenticator」がインストールされていると表示されます。
正しく機能しているか否かは間違ったコードを入れて確認してください。
②ログインできない場合の対策
当該サイトの「wp-content→plugins」フォルダの中にある「google-authenticator」の名前を変更します。
すると2段階認証がないログイン画面になりますので、ログイン出来るようになります。
以上で主要システムの2段階認証が完了しました。