さくらサーバーから送られてきた警告メールに始まったWordPressが乗っ取られ改竄されていた事件。
大量のスパムメールが送られ、詐欺ページへ転送されるように改竄されていました。
1回目の対応で一度治まったのですが、1ヶ月後に再発し2回目の対応で完全に鎮静化。
その時に行った対処法を記しておきます。
目次
WordPressが乗っ取られた症状
今回の症状は3点あります。
- スパムメールの踏み台にされていた
- 詐欺サイトへのリダイレクトがされていた
- WordPressの管理ユーザーが作られていた
それ以外の事はやられていないとは思いますが、確認した被害はこの3つでした。
プラグインを合わせれば数千あるPHPファイルの一部に不正プログラムが仕込まれていて、手作業で削除してもまた別のファイルに仕込まれるを繰り返していました。
さくらサーバーからのメールに記載されていたパスだけではなく、どこかに改竄用のプログラムが仕込まれていたのだと思います。
WordPressの管理ユーザーも作成されていたので、その時点でファイルの改竄はやりたい放題ですしね。
WordPressが乗っ取られた時の対処方
IDとパスワードの変更
まずはWordPressに関わるすべてのIDとパスワードの変更が必要です。
僕は次のように対応しました。
コントロールパネル
さくらサーバーのコントロールパネルのパスワードを変更しました。
ログイン履歴をみると不正ログインの形跡は無かったのですが、念のために変更しておきます。
さくらサーバーはコントロールパネルとFTPのパスワードは一緒なので、FTPパスワードに関しては特に何もしません。
WordPressの管理者情報
不正に作成されていた管理者ユーザーを削除。
新しい管理者ユーザーを作成して、古い管理者ユーザーを削除。
これで、新しいIDとパスワードが設定されます。
新しい管理者ユーザーを作成するだけなく、ニックネームをIDとは違う名前に変更しておきます。
ニックネームを変更しておかないと、WordPressのログインIDが知られてしまうので、必ず変更しておきましょう。
データベース
wp-config.phpにも不正プログラムが仕込まれていました。
データベースの接続情報が知られている可能性もあるので、データベースのパスワードを変更しておきます。
出来るならデータベースを新しく作った方がいいでしょう。
データベースのデータチェック
データベースのデータをダウンロードしてデータ内容のチェックを行いました。
テキストエディタの検索機能や目視で、PHPの記述やjavascriptの記述など不正プログラムがないか確認します。
問題はなかったのでこのまま利用する事にしました。
新しいWordPressのインストール
ドメインはそのままで、0からWordPressをインストールしていきます。
WordPressのインストール後は必要なプラグインとテーマをインストール。
すべてインストール出来たらwp-config.phpのデータベース情報を古い情報に書き換えるか、データベースのデータを古いデータへコンバートします。
画像コンテンツの移動
新しい場所へ新しいWordPressをインストールしたので画像などのコンテンツが見れない状態です。
古いフォルダから「wp-content/uploads」にある画像ファイルを、新しくインストールしたWordPressの「wp-content/uploads」へ移動します。
移動が完了すると画像が見れるようになるはずです。
これで作業はすべて完了
なんとかデータはそのままに復旧する事が出来ました。
行った作業の中には改造したテーマの作り直しなど、手間のかかる作業もありました。
だからテーマやプラグインまで入れ直したくはなかったのです。
でも、乗っ取られた場合は全てを0からやり直すしかないのだと思いました。
数ヶ月経った今でも、スパムメールの踏み台になる事も無く平穏にサイト運営ができています。
昨日携帯のワードプレスあぷりの調子がおかしいと思ったら、アカウントが勝手に作られてました。。(T ^ T)
こういうのが2回目です↓↓まだおそらく危ない状態ではないですが、なおすのは初心者には凄く難しいです↓
焦らず1つずつ解決します↓↓
凄く参考になりました
ありがとうございます