サイトを運用していると不正アクセスによってマルウェア感染するリスクがあります。
どのようなレンタルサーバーを契約していてもマルウェア感染しない完全な対策はなく、しっかりセキュリティ対策をしてそのリスクを減らす対策しかありません。
セキュリティ対策をいくらしても、Wordpressの場合は未知のセキュリティホールがあればどうしようもなく、感染するリスクは常にあります。
感染を防ぐ対策も必要ですが、感染後のサイトの復帰やマルウェア感染範囲を抑える対策も必要になります。
この記事では、サイト運用でマルウェア感染の被害を最小限に抑える方法についてまとめています。
WordPressのセキュリティ対策
私が効果があると思っているセキュリティ対策は以下の3つです。
ファイルの書き換えをWAFで制限しつつ、総当たり攻撃を防ぐのが一番だと思っているからです。
- WAFを有効にする
- ログインURLを変更する
- ログイン連続失敗時にロックする
WAFを有効にする
サーバーにWAF機能がある場合は、必ず有効にします。
今どきのサーバーはWAFが初期状態で有効になっていますが、Xserver系はWAFがあるにもかかわらず初期状態でOFFになっています。
ログインURLを変更する
Siteguardなどのプラグインを使用してログインURLを変更します。
ログインURLを変更することで、パスワードが複雑でなくても不正アクセスから守ることができます。

ログイン連続失敗時にロックする
limit-login-attempts-reloadedなどのプラグインを使用してログインに失敗したらログインしにくくします。

マルウェア感染時に被害を最小限に抑える施策
多くのサイトを1つのサーバーに集めない
最近はレンタルサーバーも高性能になっているのでマルチドメインで複数のサイトを運用している人も多いです。
ひどい場合だと30サイトを1サーバーで運用している人もいます。
マルウェア感染してしまうと同一サーバー内のサイトはほぼ全滅しますので、一つのサーバーに多くのサイトを入れてしまうのは得策ではありません。サーバーを分けるなど、物理的にサイトを分離してしまわないと感染被害は抑えられません。
サーバーのバックアップ機能を使用する
Xserverのように無料で7日間のバックアップを提供しているサーバーが増えてきています。
サーバーのバックアップ機能で毎日のバックアップを取得していれば、7日間はデータが残っていますので、マルウェア感染してしまっても7日前までのデータには戻すことができます。
Xserver以外では、バックアップの保持数や期間などの制限・料金も違うと思いますので、Wordpressでバックアップを取得するのと組み合わせて最適な組み合わせを検討する必要があります。
ロリポップ

さくらインターネット

mixhost
Conoha wing

WordPressのバックアップ機能を使用する
運悪く、マルウェア感染に気が付いた時には7日経っていたという場合はどうしたらよいでしょうか?
その場合は、7日前より前のバックアップデータをWordpressのバックアップ機能を使用して取得します。
WordPressにはバックアップを取得するプラグインが多数あります。
一週間に一度バックアップを取得して、1ヶ月分ぐらい保持しておけば十分だとおもいます。
個人的に好きなバックアッププラグインはbackwpupです。
このプラグインは名前を覚えられないので探すのが大変です。

backwpupは復元するのが大変なのでお勧めしません。
Updraftplusの方がユーザーフレンドリーです。

まとめ
マルウェア感染はco.jpサイトが狙われる傾向にあります。というのは、マルウェア感染後に検索結果から別のサイトにリダイレクトさせるタイプの改竄をしても、検索結果に表示されなければ意味がないからです。
そういう意味では、アクセス数が多いサイトが狙われやすいです。
感染被害を最小限に抑えるためにも今回まとめたような施策は必要になると思います。日本はレンタルサーバーが価格破壊していますので、安いプランも多くあります。一つのサーバーに多くのドメインを入れるのではなく、多くのサーバーを借りる方がセキュリティ面では安心です。