ご相談の経緯
法律事務所のお客様より、レンタルサーバーの管理画面で不正アクセスらしき痕跡を目にされ、加えてWordPressの管理者ログイン画面に毎日のように多数のログイン試行が行われていることが分かったため、現状を確認したいというご相談をいただきました。守秘性の高い業務を扱われているお立場上、サイトの安全性に関するご不安が大きく、まずは現状の把握をご希望でした。
調査と原因
サイトの現状を診断したところ、攻撃者の標的となりやすい状態にあることが分かりました。確認できた事項として、WordPress本体が1年以上更新されていなかったこと。利用中のテーマおよびプラグインのうち、複数に既知の脆弱性が報告された古いバージョンが含まれていたこと。管理者ユーザー名が推測されやすい初期値のまま運用されていたこと。ログイン試行を抑制する仕組みが導入されていなかったこと。本来必要のないリモート操作用の機能(XML-RPC)が有効のまま放置されていたこと。さらに、定期的なバックアップが取得されていなかったことが挙げられます。
対応内容
診断レポートを作成のうえ、優先度の高い項目から順次対応を進めました。WordPress本体・テーマ・プラグインのバージョンアップを検証環境で互換性確認したのちに本番反映し、サポートが終了しているプラグインは代替案へ移行しております。ログイン保護として、ログインURLの変更、画像認証の導入、ログイン試行回数の制限を組み合わせ、自動化された攻撃への耐性を高めました。あわせて、管理者ユーザー名の見直し、不要なリモート操作機能の無効化、長期間使用されていないプラグインおよびテーマの整理を実施しております。バックアップについては、サーバー上に日次で取得する設定に加えて、別サーバーへの自動保存も組み合わせ、復旧に必要な世代を安全に保持する構成へ整えております。
結果
不正なログイン試行に関するアラートメールは大きく減少し、WordPress標準のサイトヘルス機能で報告されていた重大な指摘事項もすべて解消されました。サイトの安全性に関する不安は払拭され、「万一のことがあっても元に戻せる」状態が整ったことで、ご担当者様の心理的負担も軽減することができております。
費用の目安
スタンダード実装プラン:80,000〜150,000円(税込)
月額保守(任意):8,800円〜/月
サイトの規模・状態により変動します。
初回調査:20,000円(診断のみのご利用も可)
同様のお悩みをお持ちでしたら、まずは無料相談から。
無料相談する