WordPressは保守していないとスパム配信サイトになってしまう
本日はWordpressのセキュリティーについてです。
Wordpressを使えば、簡単にサイトを構築することが可能です。
サイトの構築後も、誰でも簡単にサイトの更新ができるので、近年ではCMS(システム開発)としてWordpressが使われるようになっています。
また、導入インストール自体もとても簡単で、レンタルサーバーに標準でインストールされているものも珍しくはありません。
サイトの構築だけをデザイン会社、システム会社に依頼して、その後のメンテナンス契約は行わず
Wordpressやプラグインのバージョンを古いまま利用しているサイトも珍しくはありません。
Wordpress自体のセキュリティーホールは、最近ではあまり重要なものは発見されていません。
設定さえしっかりとしておれば、比較的安心して利用できるようになっています。
ただし、WordpresのPlugin関しては、未だ未知のセキュリティーホールを抱えているPluginがあると思われます。
メンテナンス、更新が終了しているPluginなどを利用する際は、その事を注意した方が良さそうです。
できることなら、セキュリティーホール関係のサイトをチェックして、問題となるプラグイン(感染してしまうプラグイン)の情報を得ることも大切でしょう。
弊社の方に、そのような問題のお問い合わせをいただくことが多いです。
知らず知らずのうちにスクリプトが改ざんされているので対応してほしいなどのご相談が多くあります。
内容としては、スパムメール送信用のコードをスクリプトに上書きするような被害が多いかと思います。
ウイルスチェックをすれば、大体検出してくれるので、感染してしまったスクリプトを削除すれば
スパムメールの送信を止めることができます。(メールキューの削除も忘れずに)
その後は、設定項目を見直し問題のプラグインなどの利用を停止するか、別の方法で機能を実現させるかです。
また、スパムメールを止めることで、対応は完了していません。
スパムメール送信の被害にあったと言うことは、必ずブラックリストにのっていないのか?確認必要があります。
ブラックリストに乗ってしまうと、送り先によってはメールが送信できないまたは迷惑メールフォルダに届く結果になってしまいます。
この手の解決方法はまた次回にでも。