2021年から2022年にかけて実際にあったお話です。

事例1

　10年ほど前、弊社でHPを製作した団体から連絡がありました。レンタルサーバ会社から強制的にホームページを閉鎖させられたので、どうしたら良いか？と問い合わせがありました。その団体はHP開設後、保守は必要ないとのことだったので疎遠となっていたのですが、聞くと、

• SSL化していない（開設当初はSSL化はまだ一般的でなく、SSL証明書を取得するだけでも10万円くらいかかっていた）
• バックアップをとっていない
• WordPressの更新も全くしていない

状態だったため、ハッキングされ、そのHPから大量スパムメールが送信されていたらしく、レンタルサーバ会社により強制的に遮断されたそうです。

　サーバ上にホームページデータはあるものの、どこにウイルスが仕込んでいるのか分からないので
そのデータは使えません。結局、別のレンタルサーバ会社と契約し直し、弊社で保存していた構築時のファイルで空っぽのHPを再度構築しました。（費用は十数万円）
コンテンツはその団体で一から登録し直しました。

　その間（1ヶ月くらい）はホームページにアクセスしても「Not found」と表示された状態です。

事例2

　ちょうど同じ頃、別の団体からも連絡がありました。（こちらは年間保守を契約している団体です）
メールを送信しても相手に届かないことが急に頻発し、レンタルサーバ会社に問い合わせたところ、その団体のHPは問題ないが、同じ共用サーバを利用しているHPがハッキングされ、大量のメールが送信されていたため、そのHPを強制的に閉鎖したとのこと。（団体のHPは表示は問題無し。先の事例とは関係ありませんが、状況は同じ）

　共用サーバはIPアドレスも同じです。このため、ハッキングされたHPと同じサーバを利用していたところは全て同じと見なされ、おそらくブラックリストに登録されてしまったのだと思います。

　この団体にしてみればとんだとばっちりですが、緊急処置としてGmailに切り替えて、結局サーバ会社を変えました。

教訓

　事例1のようにWordPressの更新を怠っていると、多数のセキュリティホールが存在したままで、悪意のある攻撃者の格好の標的となってしまいます。家に例えると、窓やベランダの窓を年中開け放っているようなものです。またWordPressはコンテンツをデータベース上に保存するため、バックアップをとっていないと何かあったときは（どこにウイルスが仕込まれているか分からず使えない、またはファーストサーバであったようにサーバのデータを誤って消してしまう、など）一からコンテンツを作り直さなければならなくなります。

　したがってWordPressでサイトを構築している際は、

• WordPressを更新する
• データベースのバックアップを1日1回は取る

ことが必須です。加えて

• 常時SSL化する
• セキュリティプラグインを導入する
• 問い合わせ画面や会員専用ログインなどがある場合はreCAPTUREを入れる

ことでセキュリティを強化できます。

　有限会社キートンではサイト構築時はもちろん、年間保守契約で上記の管理を承りますので、お気軽にお問い合わせください。