【ConoHaVPS】ワードプレスにある日突然ログイン出来なくなる恐怖。バックアップは超重要!(WordPressでは書けないブログ運営論#32)
今回はワードプレスというよりもVPS環境のバックアップの話題です。
先日ワードプレス環境を、ConoHa WINGからConoHa VPS+KUSANAGIに移行して、約2ヶ月経過します。
VPS構築+感想記事
その間何もなかったというとそうではなく、一度非常に危険な状態になったのですが、その経験があり、バックアップが非常に重要だということを改めて再認識しました。
ワードプレスにある日突然ログイン出来なくなった
10月中旬のある日、ワードプレスダッシュボードにログインしようとすると、いつものログイン画面と違っており、以下のような画面になっていました。
通常のログイン画面は以下の画面です。
最初の画面は、「ベーシック認証(ディレクトリアクセス制限)」を設定した場合の画面に似ています。
ベーシック認証では、サイト全体や、特定のディレクトリ(フォルダ)に対してアクセスされた際にユーザーとパスワードを入力しないとそのページが開けない状態に出来るため、セキュリティを上げるのに効果があります。
Conoha WINGでは管理画面から簡単にベーシック認証画面を設定出来ます。
が、Conoha VPSではWINGのように簡単にベーシック認証を行う機能はありません。
そもそも、自分のサイトではWEBサーバーにNginxを使っているため、Apacheを使っておらず、つまり.htaccessを何も設定していません。
それなのにベーシック認証のような画面が表示されているのは不思議としか言いようがありませんでした。
作業履歴を振り返ると、直前に変更していたのは、OS(centOS)の設定は何も変更していませんでした。
ただ、ConoHaの管理画面から料金プランを変更していただけでした。
料金プラン変更、サーバーシャットダウン、Conohaイメージ保存、サーバー起動だけが直前の変更内容です。
勿論、料金プランの変更がワードプレスのログイン画面に影響する事はありません。(パフォーマンスの速度は多少影響はあるかもしれませんが。)
このベーシック認証のような画面で、取りあえずユーザーIDとパスワードを入れてみたが、エラーになりました。
考えられるIDとパスワードを入れて全てエラーになります。
OSにログインして.htaccessを見ましたが、初期状態で当然何も設定されていません。
ログを見ましたが、何の形跡も残っていませんでした。
ワードプレス側にはログイン出来ないため、SiteGuard(ワードプレスのセキュリティプラグイン。ログインに関する履歴を残したり試行回数の多いログインをロックする等様々な機能がある)の履歴は見られません。
もし不正アクセスされているなら、あれこれ調べている間に更にサーバー改ざんされる可能性が高まるため、バックアップから戻すのが早いと判断しました。
不正アクセスにも相当気を使ってサーバーを設定していたのに、結局原因不明の状態になってしまいました。
これを書いている現在も最初のベーシック認証画面の謎は分かっていません。
こうした懸念があるので、VPSよりは絶対にレンタルサーバーの方がいいと感じます。レンサバであれば、画面がおかしい時点でサポートに対応を依頼出来ますが、VPSの場合は「お客様環境の設定はこちらでは対応しかねます」と言われてサポートを頼れません。
幸い、10月初旬にイメージ保存から取っていたバックアップがありました。
このバックアップ以降更新した記事もあったものの、それは仕方ありません。
バックアップからサーバー再構築して元の状態に戻す
ConoHa管理画面からサーバー構築を選択し、10月初旬のイメージ保存時の状態までサーバーを戻す事に成功しました。
バックアップからサーバー再構築し、OSの状態も含めて10月初旬の状態に戻った後、ワードプレスダッシュボードへのログインを試みた所、ログインが可能でした。
当然、10月初旬の問題ない状態の時のワードプレスなので、ログインは可能になります。
分かってはいましたが、もしダメだったらという気持ちが半々だったので、かなり安心しました。
これで、一旦通常の状態に戻ったものの、またいつおかしくなるか分からないため、まずはワードプレスのパスワードと投稿者スラッグを全て変更しました。
この後、更新してきた記事を一つずつ元の変更内容に戻して行きました。
バックアップが命綱だと気付く
この事があってから、バックアップの取得にはかなり過敏になり、3日~4日に一度はConoHa管理画面から手動でイメージ保存でバックアップを取ることにしました。
このイメージ保存があれば、最悪、この時点までサーバー構築で戻すことが可能になります。
ただ、ConoHa管理画面から手動でイメージ保存にも問題があり、例えば以下のような問題があります。
【手動でイメージ保存を取る場合の問題】
・50GBまでしかバックアップが取れない(1バックアップファイルのサイズが10GB以上あるため実質4世代までしか取れない)
・イメージ保存時にシャットダウンが必要になる。いきなりサーバーシャットダウンすると、記事を見ているユーザーに迷惑がかかる。
・深夜から朝方にかけて、Googleアナリティクス リアルタイムレポート等で、アクティブユーザーが0の時を見計らってシャットダウンしないといけないが、かなり負担になる。
・手動でイメージ保存をする運用になるため、自分が忙しいときなどに忘れてしまうリスクがある。また、自宅を数日空けることも難しくなる。
・サーバーシャットダウンからイメージを保存してサーバー起動までの間、サイトにアクセス不能時間が5分から10分程度ある。サイトの停止時間をサーチコンソール等Googleツールが検知しているため、検索シグナルに悪影響がないとも言い切れない。
これらの問題を解消するためには、ConoHa VPSの自動バックアップを使用します。
ConoHa VPSの自動バックアップを有効にすると、様々な問題が解消します。
【ConoHa VPSの自動バックアップの利点】
・バックアップが週に1回自動で取得される。バックアップ取得時にサーバーシャットダウンしなくて良い。
・自動バックアップは最大3世代管理される。これは手動イメージ保存のバックアップとは別の扱いになる。
・手動イメージ保存の50GBのサイズ制限には関係なくバックアップされる。
・自動バックアップからもサーバー再構築が可能。
・月330円と費用的にはそれほどかからない。(ConoHa WING自動バックアップは無料だがそれでもかなり安いので良心的。)
ConoHa VPS 自動バックアップを有効にする
これらの事があり、ConoHa管理画面で自動バックアップを有効化しました。
ConoHa管理画面でVPS設定から「自動バックアップ」を「有効」を選択する
以下の確認で「はい」を押す
ワードプレスがKUSANAGIの場合、定期的にyum updateでモジュールアップデートが必要ですが、自動バックアップがあれば、安心してアップデートコマンドを打つことが出来ます。
ConoHa VPSをワードプレスとして利用している場合、自動バックアップは必須だと思います。
何より、「何があっても大丈夫」という安心感が違います。
VPSを使用されている皆さんも、自動バックアップを利用されてみてはいかがでしょうか。
追記:ワードプレスダッシュボードにログイン確認だけでも毎日する
自分がログイン画面の異常に比較的速く気付けたのは、週に1回はワードプレスダッシュボードにログインしていたのもあると思います。
今は投稿やリライトしない日でも、一日一度はPCからダッシュボードにログインを実行しています。大体、帰宅してPCを起動したらまずはログイン出来ることを確認する感じです。
これなら、異常が起きていても気付きやすくなります。
レンタルサーバーであればここまで偏執的に異常のチェックをしなくても大丈夫だと思いますが、VPSの場合はほぼ100%自己責任なので、週次の自動バックアップと日に一度のログイン確認は絶対にした方が良いです。
自分がこれだけ警戒しているのには理由があって、SiteGuardプラグインのログイン履歴を見ると、恐らくはツールを用いた秒間に数回から数10回、様々なアカウント名でログインを試みた形跡があります。
特に、最近は回数が酷くなっています。
見当違いのアカウントでブルートフォースアタックしているので、直ぐにログインパスワードが破られることはないと思うものの、それだけ攻撃対象に入っているという事でもあります。
自分がOSとワードプレスにどういうセキュリティ対策をしてきたかは全てnoteに書いているので、以下の記事をご覧下さい。
これだけしてもブルートフォースアタックを受け続けています。
後は、ConoHa自体が頻繁にDDoS攻撃を受けている事もあります。
ConoHa WING使用時、2020年12月28日には18時間を超えるサーバー停止がありました。
(サーバー停止時間:2020年12月28日(月) 22時36分頃~2020年12月29日(火) 16時15分頃まで)
この時は、ハードウェアの不具合だったとの事で、ハードウェアの交換により復旧しましたが、17時間以上の停止だったためSLA保証の損失補てんを申請して返金を受けることが出来ました。
それ以外にも、短い時間で何度も停止しています。
その大半は海外からのスパムアクセスでサーバーがダウンしているのだと思います。
恐らくワードプレス自体がセキュリティホールなので、ログインページのURLを変えた方がいいのかもしれません。
ワードプレスのログインページは固定URLなので、非常に攻撃され易いです。
注意事項
個人が自分の考えで書いたものです。必ずしも内容が正しいとは限りません。
読まれる際はご理解をお願いします。
シリーズ一覧