この記事は「雑記ブログに必須のwordpressプラグインは3つだけ!」のつづきになります。
wordpressでブログを運営するからには、
プラグインを使うのは必須と言えるでしょう。
wordpressだけだと必要最低限のことしかできないので、
プラグインやテンプレートで足りない機能を補わなければいけません。
でも、プラグインはむやみやたらにインストールしてはいけません。
僕自身はインストール数は、できるだけ少なくしたほうが良いという考え方です。
プラグイン管理の方が大変だし
依存するのは危険だからです。
プラグインの管理がしきれなくなったり、
そもそも何も管理をせずにインストールしたら
放置をしていたらどんなことになるのか?
場合によっては、かなりヤバイことになります。
実際に僕自身もプラグインを放置した結果、
息の根を止められてもおかしくないほどの
被害を被ったことがあります。
知らず知らずのうちに、
ブログが乗っ取られても
おかしくない状況に追い込まれていました。
前回はここまでで話をしていました。
本当にあった危険なプラグインの怖い話
僕がどんな被害に遭ったのかというと、
wordpress duplicatorという
プラグインの脆弱性によるものでした。
wordpress duplicatorとは、
どんなプラグインなのかというと、
ブログを丸ごとコピーしてくれる
引っ越し用のツールです。
wordpressにもデフォルトで、
バックアップ機能があります。
ただバックアップできる項目って、
ものすごく限られてるんですよね。
wordpress duplicatorだと、
記事情報やブログの各種設定、
プラグインやテンプレートなどなど、
あらゆるデータをzipファイル形式にして、
ダウンロードできるようになります。
引っ越し先のwordpressの方では、
zipファイルとwordpress duplicatorを使って、
元のブログをそっくりそのまま
再現することができます。
wordpress duplicatorがあれば、
引っ越し目的の他にも、バックアックとして
使えるんじゃないかと思って、
僕はインストールしていました。
試しに使ってみると、
クリック操作で作業が完結できたので、
便利なツールだな!と感じたものの、
その後は、放置をしてしまいました。
そして、1年が過ぎて、
2年近く経ったころ。
いつものように記事を投稿していたら、
なんだかブログの挙動がおかしい…
投稿した記事一覧を見てみると、
なぜか数百、数千記事単位で、
消えてなくなっていました。
下書きにもなければ、
ゴミ箱にもない。
とにかく投稿した記事が
どこにも見当たらない。
ブログを表示させてみると、
デザインもほぼテンプレートの
初期設定に近い状態。
これはいよいよ、外部から何かしらの、
攻撃を受けた可能性があると踏んで、
レンタルサーバーの生のアクセスログを
つぶさにチェック。
不審なアクセスがないか
丹念に調べていった結果、、、
忘れかけていた
wordpress duplicatorに
たどり着きました。
wordpress duplicatorで生成した、
ブログ情報を丸ごとコピーさせた
zipファイルにアクセスされた形跡を確認できました。
wordpressの設定ファイル
wp-config.phpファイルも
改ざんされていることがわかりました。
要するに、第3者がzipファイルを
こっそりとダウンロードし
自分のブログにインストール。
zipファイルには当然、
ログイン情報やサーバーのFTP情報、
などなども保存されています。
こうした情報を抜き取られ、
僕のブログはほぼ
乗っ取られてしまったわけです。
この件で不幸中の幸いだったのが、
第3者の正体こそ不明ではあったものの、
単なる愉快犯だったこと。
ブログに投稿した記事も各種設定も
全て無事で、wp-config.phpファイルを
正しい情報に書き換えるだけで、
結果的に復旧させることができました。
ただ、問題発生から問題を特定→ほぼ解決するまで、
だいだい2~3時間くらいで済みましたが、
その間は本当に生きた心地がしませんでした。汗
ブログに関するあらゆるログイン情報を
速攻で新しい情報に切り替えました。
もちろん、wordpress duplicatorで生成した、
ブログ情報を丸ごとコピーさせたzipファイルもすぐに削除。
見かけ上は復旧したように見えたものの、
例えばアドセンスコードが書き換えられていたり、
何か危険なファイルを仕込まれている可能性も
ゼロではありませんでした。
それから少なくとも1週間くらいは、
1日に何度も不審なアクセスがないか、
ファイルの更新日時や生のアクセスログを見て、
監視を続けていました。
「明日になったらブログがまた
改ざんされているんじゃないか?」
そんな不安もあって、しばらくは
寝つきの悪い日が続きました。
結果的に、数時間ほどで復旧できたにしても、
繰り返しになりますが、大きな被害には
ならずに済んだのはラッキーなだけでした。
以上が、僕が実際に体験した、
プラグインを放置した場合の危険性です。
パソコン歴は20年以上にもなる僕でも、
ちょっとした不注意で、このざまです。
アマチュアレベルながら、
サーバーをいじった経験があり、
プログラミングの理解もあって、
それなりにコードを読み書きできます。
普通の人よりは、IT関係の
スキル・知識があるほうですが、
そんな僕でも、足元をすくわれました。
自分の不注意で。
こういう経験があるからこそ、
僕はwordpressのプラグインは、
必要最小限にすべきと考えています。
なんならプラグインなんて、
インストールしないほうが良いと
思っているくらいです。
ただどうしてもwordpressの
デフォルトの機能だったり、
テンプレートで補えない部分を
プラグインでカバーしています。
それが下記の3つというわけです。
・XML Sitemaps
・XO Featured Image Tools
・rinker
プラグイン依存のブログ運営も危険
wordpressプラグインについてもう一つ、
プラグインの機能に依存したブログの運営方法も
危険と言ってよいでしょう。
プラグインの危険性を他にも上げると、
プラグイン同士の相性が悪さ、
というものがあります。
プラグインをいくつも入れてしまうと、
プラグイン同士の相性が悪く、
最悪の場合、ブログが表示されなくなる、
ということが起こりえます。
管理画面にすら入れない、
アクセスしようとすると画面が真っ白になる、
ということも起きることがあります。
管理画面に入れないということは、
プラグインの再設定もできないってことです。
万事休すではあるものの、
打つ手がないわけではありません。
FTP接続してプラグインを
手動でアンインストールすることで、
ブログを復旧させることができます。
ただ、知識がないと、
管理画面が表示されない時点で、
ほぼお手上げ状態になっちゃいますよね。
他にも、wordpressを
バージョンアップさせた結果、
プラグインに不具合が生じることがあります。
ブログの表示が大きく崩れてしまったり、
管理画面にアクセスできなかったり。
かといって、wordpressの
バージョンアップをしないのは、
セキュリティのリスクがあります。
他にもサーバーのPHPのバージョンアップで、
プラグインが不具合を起こすこともあります。
こんな感じで、wordpressのプラグインって、
便利な反面、意外と管理が厄介だし
面倒だったりするんですよ。
なので、僕はプラグインなんて、
インストールしないほうが良いと
思っているくらいなんですが、
分かっていただけたでしょうか?
P.S
ちなみに、本当にどうしようもなくなった場合、
最後の手段というわけじゃありませんが、
自動バックアップを利用する手もあります。
少なくとも、
さくらのレンタルサーバー
Xサーバー
には自動バックアップ機能があります。
さくらのレンタルサーバーの方は、
あらかじめスケジュール設定が必要ですが、
1日に4回まで自動バックアップできます。
Xサーバーは1日に1回ですが、
設定不要で自動バックアップしてくれます。
僕が乗っ取り被害に遭った時にも、
実は自動バックアップを使う手もあったので、
致命傷というわけではありませんでした。
ただもちろん、
自動バックアップで復旧させた場合、
何が原因でブログが乗っ取りされたのか、
いずれにしても原因究明する必要はありました。
そう考えるとやっぱり、
数時間程度で問題を特定できて、
復旧にこぎつけることができたのは、
運が良かったとしか言いようがありません。
