WordPress セキュリティ:スパムリンクインジェクションハッキング攻撃
WordPressを更新せずに放置した場合、さまざまなセキュリティの脅威にさらされることがあります。 このsucuri文を見ると、最近の WordPressを最新バージョンに更新していない場合、Content Injection Vulnerability(コンテンツインジェクションの脆弱性)にさらされることがあることを警告しています。
リンクされた文は、4.7.0や4.7.1に発生するセキュリティ上の脅威について説明しています。 ちなみにこの記事を作成する時点での最新バージョンは4.7.3です。 WordPressを常に最新版に保つようにします。
スパムリンクインジェクションハッキングをされれば、サイトのコンテンツにSEOスパムキャンペーン(SEO spam campaign)や広告のリンクが挿入されることがあります。 そうなれば、サイト訪問者に奇妙な広告が表示されたり、ポップアップ広告が表示されることがあります。 ユーザーは、これらのサイトに再度訪問しないようにすることができ、会社のサイトである場合、会社のイメージに損傷が行くことができます。
(参考までに、このサイトでは、Googleの AdSense 広告が表示されます。 奇妙な広告がないから安心できます。(笑)他の多くのブログと同様に、このブログでも、Webホスティング費用などを、Google AdSense 広告収入に一部充当されています。 アドブロックなどの広告ブロックプログラムをインストールした場合、このサイトを許可リスト(Whitelist)に登録させていただければ本当にありがたいです。)
問題は、このような攻撃をされても、攻撃を受けた後は、セキュリティプラグインで正しく検出されないようです。 このような攻撃をされる前に WordPress コア・ファイル、プラグイン、テーマを最新のバージョンに維持し、セキュリティプラグインをインストールすることが重要です。
そして Exploit Scannerのようなプラグインを使用して、Webサイト内のファイル、DBの文とコメントテーブルに疑わしいものがあるか検索することができます。 このプラグインは、有効なプラグインのリストをチェックして、異常なファイル名があるかもチェックします。
Exploit Scannerを利用してみるとうまく動作しない場合もありました。 このような場合 Anti-Malware Security and Brute-Force Firewall(アンチマルウェアセキュリティとランダムフォース攻撃ファイアウォール)と呼ばれるプラグインを利用してみることができます。
ハッキングをしたりマルウェアに感染したり、して、サイトのファイルに変更があった場合は、このプラグインが便利そうです。 しかし、いくつかのサイトでは、正常に動作していない問題があると思われます。
スパムインジェクション攻撃をされた場合は、次のサイトの記事を参考に、適切な措置を取ってみてください。
上記でも明らかにしたように、スパムインジェクションハッキングは検出が容易ではないので、事前に予防するのが最善です。 そして、Googleの「セーフブラウジングサイトのステータス」サイトで、Googleが自分のサイトをどのように見ているかを確認できます。
2017_1215_追加: 経験上、このようなマルウェアに感染すると、データだけでなく、DBにもマルウェアが植えられている可能性があります。 DBにマルウェアが植えられている場合には、検索が容易ではなく解決するために、時間とコストがかかることがあります。
解決するために困難を経験する場合 サービス(有料)を依頼することができます。 または、セキュリティ企業 Sucuriサイトでライブチャット(右下に位置)を介して相談を受けて見ることもできるようです。
良い情報ありがとうございます^^
コメントありがとうございます^^
マルウェアに感染したり、ハッキングされたサイトの問題をしばしば接するよ、常に注意するべきだと考えがしますね。 バックアップも徹底して。(笑)
フィットします。 WordPress サイトの顧客オフ200のいくつかの以上Dedicated serverに上げ管理している自動更新プラグインなかったら本当に目の前が真っ暗ですね