1年以上前にハッキングされたWordpressから難読化されたコードを見つけた件を書いたんですが
また献体をもらったので思ったことを書きます(献体とは関係ない、なお本業とも関係ない)
Contactform 使ってますか?
問い合わせフォームを作るやつです。
8割方入っている印象があります。
そんなContactformですが、お問い合わせ内容は保存されません。
送信された瞬間に、メールが配信されて終わりです。
メールなくしちゃったらどうしよう?
問い合わせがロスしてしまうので困りますよね。
そんなときに・・・
Flamingoをインストールすると
問い合わせ履歴がWP上で確認出来ます。便利ですね。
便利なのになんで駄目?
改竄されるWPサイトが多すぎる問題
もうコレに尽きます。
身の回りだけでも毎月1回ぐらい改竄されたって聞きます。
おそらくもっと多くのWPが日常的に改竄されているはずです。
改竄を受けるWPでは攻撃者は下記の捜査をできる事がほとんどです。
- 任意のファイルを設置できる(改竄)
- 管理者ログインを行う
- WP上のデータ閲覧
- サーバから任意のメール発信
これらの事が出来てしまいます。
で、何が言いたいかというと
改竄を受ける確率が高いWPに大切なデータ(顧客情報)を置くのは避けた方がいい
- メールは無くさずに管理する(フィルタ処理でコピーしてアーカイブ残す)
- CRMにメールなげてそのまま管理してもらう
- contactformではなくEFOのSaaSを入れる
など他にもやりようがあると思うので、絶対に入れるなとは言いませんが
改竄受けたらサイトが見れるだけじゃなくて中に入っているデータも盗られる可能性大なので
リスクを考慮した上で導入を検討して欲しいと思います。
PS.
- そもそも改竄されたら保持してなくても抜かれる可能性ある
- WPは改竄されるという先入観は捨てるべき?