今日の学長通信では、以下についてお知らせします。
Webサイトのハッキング事例とWordPressと受注・運用時の注意点
昨年末の学長通信に少し書いた「SSL化を引き受けてハマったこと、今後の注意点」をまとめていたら、とても恐ろしい事例が目に飛び込んできて、
私も明日は我が身!他人ごとではなかったので、こちらの情報を優先してお伝えします。
事の始まりは、先週土曜日。
FacebookでWebサイトのハッキング被害の投稿を見かけたところから。
私がとてもお世話になっているWeb屋の方の投稿でした。
状況は以下になります。
過去に利用していた古いプログラムがサーバーに「過去ファイル」として一部残っていて、その脆弱性をつかれ、ハッキング被害を受けたとのこと。
古いプログラムといってもいろいろとありますが、簡単に説明するなら、WordPressのような「コンテンツを管理・更新できるシステム」という理解でよいと思います。
よく知られているWordPressは CMS(コンテンツ管理システム)の一つであり、このCMSは自社オリジナルのものからWordPressのようなオープンソースのものまで数えきれない種類があります。
脆弱性は完全に対策を施すことが困難であり、次々と新たな脆弱性が発見されているのが現状で、常にプログラムのアップデートが必要となり、脆弱性が残された状態で放置しているのはとても危険な状態なのです。
今回のハッキングの流れは、
海外からの大量のアクセスが発生、そのアクセスのどれかが脆弱性をついてサーバーに侵入、悪意のあるファイルが埋め込まれる。
ということだったようです。
そして、何より恐ろしいのが、マルチドメインで運用している場合、一つのドメインがやられると、他のドメインにも飛び火してしまう。
ということは、
マルチドメインで 制作案件を管理していると、すべての案件に悪意あるファイルがばらまかれるということ。
まとめると、
- 更新されていない古いプログラムは絶対にサーバー上に残してはいけない。
- マルチドメインでの運用は今回のようなリスクが伴う。
出先でこのFB投稿を見かけて、私も同じ状況にある。
これは、まずい!と慌てて帰宅。
私の場合は、過去、MTOS(MovebleTypeオープンソース版)というCMSを多用している時期があり、まだ、そのまま運用している複数の案件が残っていた。
保守契約をしているので「知りません」ではすまされない!
救いは、マルチドメインで運用していなかったこと。
私自身のサーバーにもこの古いMTOSを複数置いていた。
テスト目的で利用していた更新されていないWordPressもあった。
帰宅後、
すぐに心当たりのあるWebサイトのバックアップをとり、
(Webサイトは全部で20件近くありました(涙)
削除できるものは削除した。
当たり前のことなのに、本当に恥ずかしい。
知識として持っていても、ちゃんと対応できていなかった自分の甘さ。
今回の事例を目の当たりにして、今後のWebサイト制作業務・運用を考え直させられました。
私の今後の対策を以下のページにまとめています。
スクールコンテンツの関連ページへのリンクもありますので、参考にしていただけると嬉しいです。
日曜日の勉強会は現在進行中のロゴ制作案件の実況でした。
今回は、このスクールのメンバーにロゴデザインを依頼したのですが、そのメンバーが制作時、格闘したラフ案やAiデータ、ロゴ制作の過程と勉強になったことをまとめた素晴らしい資料も作って下さり、とても有意義な勉強会になりました。
ありがとうございました!
先月分の勉強会動画もまだアップできていないのですが、
(スミマセン!)
できるだけ早くアップしたいと頑張って編集していますので、楽しみにお待ちください。
◆ メンバー全員に随時、個別相談を無料で行っています。
⇒ 新メンバーは
初回オリエンテーションとしてご利用ください。
- 現状把握
- 参加目的の確認
- 今後の目標設定
をすることで、よりこのスクールのシステムを活用していただけると思います。
⇒ 既存メンバーはいつでも、何度でも個別相談できます。
- 相談したいことがある
- 参加目的や目標を見失ってしまった。
- ステップアップの為、次の目標設定を一緒に考えてほしい。
など、いろいろとあると思います。
今、困っている事、迷っている事、何でも相談して下さい。
一緒に考えましょう。
