先日、お客様から「サイトが表示されなくなったので調べて欲しい」と連絡があり、サーバー会社へも問い合わせをしながら調査を進めたところ、WordPressの各種システムファイルが上書きされ、それにより大量の迷惑メールの発信元になっており、それを検知したサーバー会社がサイトの表示をストップした、ということが分かりました。
サイトへの攻撃というと、メジャーなサイト、国や自治体のサイトなどが対象に思われがちですが、上記の例でも分かるように中小企業のサイトも狙われることも多いので、セキュリティには常に気をつけたいところです。
では、なぜこのような結果を招いてしまったのでしょうか。結論から書くと「単純なパスワードを使っていた」からです。サイトの制作自体は弊社が担当し、WordPressもFTPも、当初は英数記号が入り交じった16桁のパスワードを設定していたのですが、運用の関係でお客様の方で単純なパスワードに変更したそうです。それが原因でWordPressやFTPに入られてしまったのでした。
例えばWordPressの話でいうと、改ざん等の被害にあったケースのほとんどが、パスワードが単純なものだったために起こっている、というデータがあります。逆に言えば、強度の高いパスワードを使えば、ある程度セキュリティが担保される、ということになります。
最近では、パスワードは、ローマ字の大文字小文字/数字/記号が入り混じった16桁のものにしておけば、基本的には破られることはない、と言われています(100%の補償はもちろんありません)。覚えておけるパスワードの方が運用が楽な場合も多々あると思いますが、上記のように迷惑メールの踏み台にされたり、サイトを改ざんされたりとなると、企業の信用問題にも関わってくることですので、パスワードは必ず強度の高いものにしておくことをオススメします。