他社が作ったWordPressサイトを引き継いだら、想像以上に危険な状態だった話

はじめに

「前の制作会社と、もう連絡が取れなくて…」

こういう入り口から始まる相談が、思っていたより多くあります。制作会社が廃業していたり、担当者が変わって誰も経緯を知らなかったり、気づいたらサポート窓口がなくなっていたり。

そして決まって、こう続きます。「サイトは一応動いてるんですけど、中身がどうなってるか、正直よく分からないんです」と。

その「よく分からない」は、かなり危険な状態であることが多いです。私がこれまで引き継いだり、相談を受けたりしてきた経験から言うと、他社制作のWordPressサイトを調べてみて何も問題がなかった、というケースの方が珍しいくらいです。

今回はその実態を、できるだけ正直に書いておきたいと思います。

きっかけは「前の制作会社と連絡が取れない」という一言だった

引き継ぎの相談は、だいたい似たような入り口から始まります。

前の制作会社が廃業した。担当者が退職して誰も経緯を知らない。何年も更新を頼んでいたが、ある日突然連絡がつかなくなった。パターンは違っても、共通しているのは「サイトの中身を誰も把握していない」という状況です。

問題はそこから始まります。ドメインやサーバーの管理画面にアクセスしようにも、ログイン情報が分からない。WordPressの管理画面に入れない。メールアドレスが前の担当者のものになっていて、パスワード再設定すらできない。

こうなってから動き出すと、解決に想定以上の時間とコストがかかります。そして調べるうちに、セキュリティ上の問題まで見えてくることがほとんどです。

実際に見つかった問題、これだけある

引き継ぎや相談対応の中で実際に遭遇してきた問題を整理すると、大きく3つのカテゴリに分けられます。

WordPress本体・プラグインの放置

最も頻繁に見つかるのがこれです。

WordPressのコアファイルが数年前のバージョンのまま放置されているケースは珍しくありません。「動いているから問題ない」という判断だと思いますが、古いバージョンには既知の脆弱性が含まれており、攻撃者にとっては格好の標的になります。

プラグインも同様で、更新が止まったまま何年も使い続けているケースが多いです。中には開発が終了して公式ディレクトリから削除されたプラグイン、脆弱性が報告されているにもかかわらず有効化されたままのプラグインも見つかります。

また、意外と見落とされているのがテスト環境の残骸です。本番サイトのサブディレクトリに「test/」や「new/」という名前でWordPressがインストールされたまま何年も放置されているケースがあります。誰も管理していないWordPressが外部からアクセスできる状態で残っている、ということになります。リニューアル後に旧サイトのWordPressをそのまま残しているケースも、同じ問題を抱えています。

管理・権限まわりの崩壊

「ドメインが人質状態」という表現が、一番実態を表しています。

ドメインが前の制作会社名義になっており、廃業した今となっては更新手続きも移管もできない。最悪のケースでは、ドメインの有効期限が切れてサイトごと失ってしまいます。これは大げさな話ではなく、実際に起きていることです。

サーバーのログイン情報が誰も把握していない、という状況も珍しくありません。引き継ぎの際に資料が何も引き渡されておらず、FTP（ファイル転送プロトコル）のパスワードも、データベースの情報も、すべて「前の会社が持っていた」という状態になっています。

パスワードの問題もあります。WordPressの管理者アカウント名がそのまま「admin」で、パスワードが「password123」のような単純なものになっているケースは今でも見かけます。攻撃者が最初に試すのがこのパターンです。加えて、退職した担当者や前の制作会社のアカウントが管理者権限を持ったまま残っていることもあります。

サーバー・基本設定の放置

SSLが対応されていない、つまりURLが「https://」ではなく「http://」のままというサイトがまだあります。Googleがhttpsを評価基準に採用して久しいですが、それ以前にサイト訪問者の情報が暗号化されていない状態は、今の時代にそぐわないものです。

サーバー側のセキュリティ設定がほぼデフォルトのまま、という状態も多く見られます。外部から不要なアクセスができるファイルが公開されていたり、本来無効化すべき機能が動いたままになっていたりします。バックアップについても、サーバー障害やハッキング被害が起きたときに「バックアップが一切ない」という状況に初めて気づくケースが後を絶ちません。

なぜこういう状態になるのか

制作会社側の問題として「作って納品したら終わり」という意識があることは否めません。保守契約を提案しない、あるいは提案しても形骸化した内容になっている制作会社は今でも多くあります。

一方で、発注する側にも構造的な問題があります。WordPressの中身を把握していない状態でサイトを運用しているケースがほとんどで、「なんとなく動いている」を「問題ない」と同義に捉えてしまいがちです。化学メーカーで働いていた頃の感覚で言うなら、定期点検なしで設備を動かし続けているようなもので、小さな異常が見逃され続け、ある日突然止まります。

そしてもう一つ忘れてはいけないのが廃業リスクです。小規模な制作会社ほど廃業リスクは高く、「付き合いが長い制作会社だから大丈夫」という安心感は、ある日突然崩れることがあります。

特に怖いのは「気づかないこと」

セキュリティの問題が厄介なのは、問題が表面化するのが被害を受けてからである点です。

ハッキングされてサイトが改ざんされる、訪問者にマルウェアが配布される、スパムメールの踏み台にされる。こういった被害は、ある日突然気づきます。そしてその段階で「いつからこうなっていたのか分からない」という状態になっていることが多いです。

私自身、SECURITY ACTION（情報セキュリティ自己宣言制度）の二つ星を宣言しており、セキュリティ対策の重要性はWebの仕事を始めた当初から意識してきました。それでも、引き継いだサイトを調べるたびに「こんな状態でよく今まで何もなかったな」と感じることがあります。問題が顕在化していないだけで、リスクはずっとそこにあります。

→ 私のセキュリティへの取り組みについてはこちらも参照してください：SECURITY ACTION二つ星を宣言したWeb制作者の情報セキュリティへの取り組み

今すぐ確認してほしいこと

「うちのサイト、大丈夫かな」と少しでも思ったら、まず以下を確認してみてください。

ドメイン・サーバーの権限は自分たちにあるか ドメインの登録者名義が自社になっているか。サーバーのログイン情報は手元にあるか。制作会社に確認を取らなければ分からない状態なら、今すぐ情報を取り寄せておくことをおすすめします。

WordPressとプラグインは最新の状態か WordPress管理画面にログインして、ダッシュボードに更新通知が出ていないか確認してみてください。何件も溜まっているなら、それだけ放置されてきたということになります。

バックアップは取れているか サーバー側の自動バックアップが有効になっているか、または別の手段で定期バックアップを取っているか。「多分取れてると思う」は確認できていない状態と同じです。

保守を誰かに任せているか 誰も管理していないWordPressは、時間とともに危険度が上がっていきます。更新作業、定期的なセキュリティチェック、問題発生時の対応を誰が担うか、明確にしておく必要があります。

まとめ

他社が作ったWordPressサイトの引き継ぎを通じて見えてきたのは、「作って納品したら終わり」という考え方が生み出す、積み重なったリスクです。

WordPressは適切に管理すれば非常に優れたCMS（コンテンツ管理システム）ですが、放置すれば脆弱性の塊になります。そして制作会社が廃業した後では、できることが一気に限られます。

Web制作会社を選ぶときに保守・セキュリティへの姿勢を確認しておくことは、長期的に見て非常に重要な判断基準です。

→ 制作会社選びの判断基準はこちら：相見積もりで失敗しないWeb制作会社の選び方と判断基準

現状のサイトが心配な方、他社制作サイトの引き継ぎを検討している方は、お気軽にご相談ください。静岡県富士市を拠点に、オンラインで全国対応しています。