WordPress

WordPressサイトがハッキングで乗っ取られたのでその対処方法/さくらサーバー

Wordpress hacking

知り合いの方の WordPress サイトがハッキングにより別のサイトにリダイレクトされるようになっていたので、まるごと削除した話です。

自分の WordPress サイトが検索しても出てこないので見て欲しいという依頼

知り合いの方から、ホームページがなんだかおかしくなったという連絡があったので見させていただいた。 よくよく話を聞くと、いつもサイト名で検索すると出てくるサイトが出てこないとのこと。

実際にサイト名を入れて検索してみると、ドメイン名は正しいものが出てくるのに、タイトルとディスクリプションが別のものになっていた。

site:ドメイン で検索してみると、全てのページが別のtitleとdiscriptionで表示されている! どこかの通販サイトの商品名と説明になっているのです。 それをクリックするとそこの通販サイトに飛んでしまう。

不思議に思いながら、WordPress に入っている各記事のタイトルとディスクリプションの設定を見てみたがきちんと正しいその記事の内容のものになっていた。 これはハッキングによって別のページにリダイレクトされるプログラムが仕込まれているんだなあーと思った。

かなり前のものではあるがバックアップがあるとのことでデータををもらっておいた。 その後ハッキングされたものであるが今の現状のバックアップも取った。 SQL のバックアップも。

以前のバックアップと今の物を見合わせながら悪いところを見つけようと思ったが状況が悪くなる一方だったので全削除することに

以前のバックアップと今のバックアップで照らし合わせながら悪いところを見つけて消そうかと思った。 WordPress 本体のindex.phpが書き加えられて気味の悪い状態に。 .htaccessも内容が書き加えられている。 さらに存在するすべてのフォルダー下にそれと同じ内容の.htaccessが追加されている 

明らかに改ざんされた内容。

about.phpという新しいファイルもつかりその中には全く覚えのないものが入っていた。 中身は.htaccessの内容を書き換える指示?!

改ざんされたファイルを探す時に、ファイルの日付から探そうとしていたがそれがそもそも間違いのようで、中に書かれている PHP を読んでみると、プログラムを改ざんしつつ更新の日付も400日さかのぼるようにプログラムされていた。

2日後には WordPress の管理画面へさえも行けなくなっていた

そうこうしているうちにWordPress の管理画面にさえ行けなくなってしまっていたので、これは完全に元から直さないといけないと思いサーバーから丸ごと全削除することにした 。 念のためデータベースも全削除することに。

そして削除しようとしたが2つのファイル(.htaccessとindex.php)がサーバのファイルマネージャーから消そうとしても消せない。FTP ソフトからも消せない。 ちなみにこの二つのファイルは内容が改ざんされているやつ 。

パーミッションが444になってたので755に直そうと思ったが、何度操作しても直せない。

どうにもできなかったのでレンタルサーバー会社に削除依頼を出しました。

さくらサーバーからのメールにも改ざんでは?という内容

さくらサーバーからはその日の夜に連絡が。 その内容によると、知らない PHP のプログラムが働いているのでそれをまず止めてほしいという。 その上で第三者に改ざんされたのでは?という内容も明記してありました

さくらサーバーからのメールの内容

確認いたしましたところ、お客様のアカウントにて以下プロセスが動作 し続けているようです。 /usr/local/php/7.4/bin/php /home/アカウント/www/l.php 動作中のプロセスはコントロールパネル画面左 “サーバステータス” → “動作中のプロセス” から確認することが可能です。 コントロールパネルより該当プロセスの終了を行っていただけましたら ファイルの削除も可能になるかと思われます。 起動している PHPプログラムにお心当たりはございますでしょうか。 お心当たりがございません場合、お客様のWordPressが第3者に改ざん されており、不正操作に利用されている可能性が高いです。 こちらの場合、改ざんされているファイルを特定、修正することは不可能で あるため、全てのデータを削除し、ウェブサイトを1から作成しなおして くださいますようお願いいたします。 なおバックアップデータを取得されている場合、そちらも既に改ざん済で ある可能性がございますため、それらデータを使用しての復旧は 行わないようお願いいたします。 WordPressが改ざんされた直接の原因はわかりかねますが ・WordPress のバージョンを古いまま運営していた ・開発者にて適切に管理されていないテーマやプラグインを使用していた ・推測されやすい簡単なユーザ名、パスワードを設定していた ・他のウェブサイト等で使用しているパスワードを使いまわしていた ・ノートPCやスマートフォンが紛失、盗難にあった 等にて第3者による改ざん、不正利用が行われたという報告は多数 ございます。

 

さくらサーバーからのメールにしたがって動作中のPHPを止めて削除

やっぱりそうだよね、改ざんだよねと思いながら、とりあえずレンタルサーバーの画面へ。 動作中のプロセスを見ると確かに動いている PHPがありました。

で、削除。

その後消せなかった2つのファイルを削除してみたら、すんなり消すことが出来た。 よかったーーー。一安心。

バックアップをそのまま戻さないでイチからセキュリティを考えたい

さて、サイトをまた入れなおそうかと思うが、また同じような目にあってはいけないので、今度はセキュリティを高くするように気にしなければいけない。

テーマ 、パスワード、プラグイン、SSL… いろいろ気をつけるところはあるが、まず WordPress を使うべきかどうかそこから考えた方がいいかと思った。

ほぼ静的な内容でしか動かしていないWeb ページで、今のところブログもない。 固定ページだけのホームページだった。 その場合 WordPress にする必要はないんじゃないか?

依頼主は WordPress のサイトの作り方を習いに行ってその授業の中で作ったサイトだった。 70近くの高齢なのにも関わらず、ここまで素晴らしいウェブサイトを頑張って作りあげたのにそれを無下にするのも本当に悲しいと思う。

よって今回は WordPress にするもののセキュリティを高める方向で行きたい。

今のところ WordPress のセキュリティを高めるために以下の対策をしたいと思っている 。

  • 二要素認証(2FA)のプラグインを使用
  • ログインURLの変更 ID とパスワードを全く別のものに変更する
  • セキュリティプラグインを変更
  • テーマやプラグイン最新のものに
  • 使用しないデフォルトのテーマは消去する
  • 定期的に自動バックアップを取るようにする
  • Google Search Console に登録しておく

特にパスワードは一度流出しているので絶対にこのサイトはおろか他のサイトでも同じものは使っちゃいけないと思った。

元々の依頼主の WordPress は最新バージョンになっていなくてPHPも古いまま。 テーマは twenty nineteenを改造したもので子テーマまではなく、元テーマをそのままカスタムしているのでバージョンアップに対応していない。そこがちょっと心細いので後ほど子テーマのものに改造した方がいいのか…

WordPress の乗っ取りは私自身も経験したことがなかったので他人ごとでした。 ネット上ではチラホラ聞いていたけど。 今回は身近な人がクラッキングの被害にあったので、自分も同じように対策を講じなければいけないと強く思ったのでした。

 

この記事が気に入ったら
いいね ! しよう