本エントリは「#ssmjp Advent Calendar 2019」の12月25日の記事です。
前日はjunjunさんです。
本ブログはシステムとしてWordPressを使っていますが、WordPressの管理・運用について最近あったことについて。
このブログやOB-Keではなく、サーバ管理を行っているとこに載っているWordPressで構築されたサイトが表示されなくなり(500になる)、調査したところ、マルウェアがサイトを改ざんし損なってPHPがエラーを出していることがわかりました。
自分自身のWordPressのサイトでは本体やプラグインの更新は即座に行うようにしていて、幸いそれで特に動作も問題ない(し、個人のサイトなので更新由来の何かで落ちても別に困らない)のですが、世の中にはなかなかそうもいかない事情のサイトも存在します。
件のサイトは、一時期WordPressの状態が不明で、最終的にそれも自分が見るようになったのですが、昔、マルウェアに感染してSPAMが送信され、それの対応を行った、という話は聞いていました。
ですが、調べてみると、その時の対応が不十分だったのか、その後の管理状態が理想的ではなかったのか、タイミングのあやかはわかりませんが、とにかく、目の前の状態としてはマルウェアにやられている、という状態でした。
にゃーん。
過去の経緯はその時にまで戻れるわけでもないので、まあ、仕方ないです。というわけで駆除を開始したのですが…、「WordPressのやられ方」をよく知らなかったので、その学習もあり、案外時間がかかりました。なるほどなー、こういう手かー、と思いながら作業しました。
結局、やったこととしては以下のような感じです。
- メール送信の制限
- coreとプラグインを全部確認してクリーンアップ
- カスタムテーマも全部確認してクリーンアップ
- 不必要なテーマの削除(管理対象をちょっとだけ縮小)
- 不必要なバージョン情報出力の削除(これは気休め)
- 認証情報系を全部更新
- ユーザーアカウントの精査(必要かどうか、権限は適切か、等)
- wpdoctor(無料版)の導入
ごく一般的な項目ですが、これを行う前提として、そもそもこのWordPressのサイトはどう構築されているのか、何が正しい状態なのかを理解する必要があり、そこが一番大きな手間となりました。
そのサイトはプラグインも多種多様、表示の振り分けも独自でコーディングしてある等々、かなり気合の入ったカスタマイズでした。
私は仕事でPHPを扱うので、まあ、全部読めばいいだけの話で、Codex読みながら確認して、ソース読んで…、で良かったのですが、WordPressの利用形態として必ずしもユーザーがPHPを読めたりするわけでもありません。
WordPressは脆弱性でとかく話題となりやすい(特に批判されやすい)CMSですが、対象を正しく理解しその運用コストを正しく把握した上で適切に運用することが可能であれば、WordPress(やPHP)は悪いとは私は思いません。CMSとして「WordPressを利用しない」という選択肢は当然アリですが、その場合、他の選択肢についても、そのコストに差はあれど、前提条件は変わらないからです。
件のサイトはこれで落ち着いてくれると良いのですが、注意して見ていかないといけません。
みなさんの管理・運用がどうぞ、何事もなく平穏でありますように祈念いたします。
よいクリスマスをお過ごしください。