この記事を読むのに必要な時間は約 3 分です。

ここ数ヶ月、弊社にて対応したホームページ改ざんの案件について、すべてWordPress4.7.0または4.7.1での運用を続けられていたサイトでした。
(改ざん対応3件、相談案件12件、合計15件。※相談案件については改ざん被害なし)

すべて2016年後半〜2017年前半ごろにホームページを新規設置して、現在までそのまま運用されている方には要注意情報です。
IPAからもWordPress4.7.0または4.7.1での運用に関しては注意喚起がなされており、最低限4.7.2以上での運用がアナウンスされています。

改ざんされたサイトの一つは下図のような表示となっており、対応策としてはドメインを破棄するしかありませんでした。
結果、メール関係全般の再構築、社内PCのウィルスチェック、社内LAN経路・ファイヤーウォールの確認まですることとなり、およそ200万円の対策費をかけることとなりました。(対策費用は保険でカバーできたそうです)

ロボットではない場合は[許可]をクリックします」は押してはいけない。
この画像が出た場合は、絶対にクリック・タップはしてはいけません!

その他2件は管理者権限の乗っ取りが確認されましたが、幸いそれ以上の被害はなく、該当アカウントの削除のほか、WordPress本体のバージョンアップおよびセキュリティ強化、サーバ設定の強化(php最新バージョンが使えなかったためサーバの入れ替え)を行いました。

WordPress5系統が現在最新となっており、2022年にはWordPress6系統のリリースが見えてきています。

またSEOマーケティングより、メールマーケティングを中心にしたウェブサイトの使い方に変わってきていますので、古い状態のままホームページを運用されている方は、こうした事例をきかっけにウェブマーケティング関係を見直され、セキュリティに関するリスクに対応されることをおすすめします。