KumaTechLab
2022-01-18/2023-05-23

【対処方法】WordPrssでサイト改ざんにあったお話

【対処方法】WordPrssでサイト改ざんにあったお話

ある時WordPressログインしようとすると意味の分からないCSSの乱れたショッピングサイトに飛ばされるようになっていました。トップページは表示されるけど投稿や管理画面などは完全に表示されない状態。

まあ、見るからにウイルスか改ざんかという形ですね。

本記事ではそんな状態からの復旧方法を紹介します。

まずやるべきこと

まず、やるべきことはレンタルサーバーのサポートへの連絡です。お問い合わせで「改ざんされました」と連絡をしましょう。すぐ直したいからとランサー系のサイトで依頼するのはやめておいた方が良いです。(理由後述)

私は「wpx speed」を使用していますが、連絡したら2時間ぐらいで返信がきました。数多くお問い合わせがある中土曜日にも関わらず結構早かったです。

「不正アクセスの調査を希望しますか」というような旨のメール内容が返ってきますので、メールに従い返信します。慌てずに必要な情報を漏れなく記載しましょう

自分である程度直せる人も放置しておいた方が良いです。どこかにウイルスが残っているとまたすぐにウイルスが復元されてしまいます。

サポートに依頼することでウイルス・マルウェア等の場所を特定してもらえるので、その結果を見てから弄りましょう。

結果が来たら

調べてもらうと結果には「想定される理由」「検出された不正なファイル」「不審なアクセスログの一部」等の情報がまとめられています。

WordPressの知識等がある人はこの情報を見て動きましょう。

わからなくてすぐに直したいという人はランサー系のサイトに依頼するのも良いと思います。ココナラ等利用すれば「3,000円~5,000円」ぐらいでやってくれる人が見つかると思います。

私の場合、通常のサイトごとのディレクトリに加えて「home/my_directory/」にウイルスファイルが設置してありました。xserver系のレンタルサーバーではftpでサイトごとのディレクトリしか確認できないため上記のような場所に仕掛けられるとどうしようもありません。(mixhostやさくらのサーバーではアクセスできたと思います。)

上記のようなファイルはレンタルサーバー側でパーミッションの設定を行ってくれます。

こういうことがあるので最初からランサー系のサイトで依頼するのは控えた方が良いということです。お金払って直してもらったのにアッという間にまたウイルスの餌食になってしまいます。せっかくお金払ったのに~ということになりかねません。

元に戻す

ここは開発者向けの内容です。また、「wpx speed」での話になります。xserver系は同様の処理で良いのではないかと思いますがサポートサイトやメールの内容も見るようにしてください。

レンタルサーバーのサポートに調査を依頼した場合、サイトにアクセス制限がかけられます。それを解除するのにはWordPressの初期化を行わなければなりません。

常に準備万端のバックアップ(ファイル+DBデータ)がある人はそれを使用して復元するだけです。

サーバーパネルから対象ドメインのWordPressを初期化します。その後バックアップデータで復元を行います。必ず、ウイルス発覚前のバックアップを使用するようにしてください。

バックアップがない場合はバックアップを作成しなければいけません。

ファイルはftpを使用して取得します。レンタルサーバーのレポートで取得用のファイルにウイルスがある場合は確実に削除してください。また、念のためその他のファイルも確認しておくと良いです。

また、サーバーパネルでデータベースのバックアップも取得しておきましょう。WordPressの初期化の際にデータベースのデータを残すか選択できますが、私の場合それでうまいこと動かなかったのでデータベースごとの初期化をする必要がありました。取得しておくに越したことはありません。

以下取得しておくと良いファイル

  • wp-config.php
  • themeフォルダ(またはtheme内の使用中のテーマフォルダ)
  • pluginフォルダ(公式配布じゃないプラグインを使用している場合とても重要)
  • uploadsフォルダ(画像数によってはとても重い。コマンドでzip化できるならそっちの方が早くダウンロードできると思う。)
  • DBバックアップファイル(.sql)

対策

続いてまた、同じことにならないための対策を紹介していきます。

これをしっかりやらずに再びウイルスに感染すると、サイトが止まるどころではない対策をレンタルサーバーから受けることになるやもしれません。(メールの最後の方にそのような記述が)

私の場合は

  • テスト用のサブドメインに設置したWordPressのログインが甘い
  • おそらくそこから入られてハッキング用のプラグインを設置される
  • その設置口から各階層に悪質ファイルが設置される

といった感じだと思われます。

ハッキング用のプラグインはどこかの国の人がセキュリティ対策用に作成されたものでした。プラグインのディスクリプションには「決して本番環境で使用しないでください」のような感じで書かれており、作者には悪意はなかったものの悪用されてしまったという形でしょう。

私の場合をみてもまず重要なのはログイン情報の管理です。

第三者に漏らさない、国外IPからの管理画面アクセス制限、ログイン試行回数の制御、日本語の入力認証あたりがあるとかなり丈夫になります。

Site Guard WP Plugin」「All in One WP Security」のようなプラグインで設定をすると結構ガチガチにできます。プラグインを入れただけでは意味ないので、解説ブログ等参考にしっかり設定しましょう。

次に気をつけるのはFTP情報の漏洩です。

wordpressに侵入されるより甚大な被害になりかねないです。ファイルの設置からなんでもできてしまいます。

可能性としてはWordPressのログイン情報の漏洩よりも少ないですが気をつけましょう。

最後にPCのセキュリティです。

上記のような漏洩がPC内のウイルスによって起こっていることも考えられます。通常の徘徊ではなく、一度フルスキャンなどで細かく検査してみると良いでしょう。

まとめ

とりあえずウイルスっぽい症状や改ざんにあったら、自分で直すことができてもレンタルサーバーのサポートに問い合わせをしましょう。

その結果を見てから速やかに行動しましょう。

2020 KumaTechLab.