ワードプレスドクターでお客様のサイトの復旧依頼事例をご紹介いたします。今回は、以下のような状況に陥っていたクライアント様の復旧事例をご紹介します。

security-265130_640

お客様のご契約サーバーから、突然サイトがハッカーによって改ざんされていてスパムメールが多数送信されているとの通知があり、主要なファイルの実行権限が000に設定され完全にサイトがアクセス不能になった

こちらのお客様のサイトを御調べすると下記のように、悪質にハッカーにやられている状況でした。ここまでされるのはこのサイト様が海外からも多数リンクを張られている著名なデザイン事務所をやられていて、Googleからの評価が非常に高いサイト様だったからというのもあるかと思いました。

・スパムメールが一日10000件送信されている状況
・サイトがマルウェアに感染し、Googleのブラックリストに登録
・サイト内にハッカーの手によってECサイトが運営されている
・ウェブマスターツールがハッカーによって勝手に登録され、そのECサイトがSEO最適化までされている
・管理者権限が奪取されており、サイトの広範囲な改ざんがみられる
・スパムコメントが千件以上

お客様のサイトの脆弱性は下記のようなものでした
・ワードプレスのバージョンが3.1
・パーミッションがサイト全体で書き込み可になっている
・プラグイン約10個のアップデートは数年行われていない

このような事例は多数あるものです。ワードプレスは構築したら自分でサイトを更新できるというのが売りですので、セキュアなサイト運営にまで多くのウェブマスター様が手が回らない事があります。また知識をお持ちでないとハッカーは著名サイトでドメインの評価資産を利用するために自分の存在を隠して侵入する事もありますので発覚が遅れる事があるからです。

サイトの復旧・マルウェア(ウィルス)のクリーンアップに向けて

wash-hands-98641_640
こちらのサイト様を約1週間程度で、復旧させていただきました。ここではどのような手順でサイトを普及したのかをご紹介いたします。

サイトの完全バックアップとローカル環境でのサイトの動作確認

まずワードプレスドクターでは復旧前にサイトの完全バックアップと、データベースのバックアップをとり、隔離された、ローカル環境にて動作確認いたします。このとき判明したのは、あまりに改ざんが広範囲なため手作業で一つ一つの改ざんを取り除くのは難しいだろうという事、また、ワードプレスと関係のない複数のフォルダに数十万件のサイトと関係のないファイルがあるという事でした(後にハッカーによって運営されていたECサイトと判明)。

Themeファイルとアップロードファイル以外を丸ごと最新のワードプレスで入れ替える

ローカルでの確認を行った後に、ワードプレスドクターでは、サイトを丸ごとさらの最新ワードプレスで構築し直し、導入プラグインもワードプレスの公式プラグインディレクトリからダウンロードし直し、サイトを完全再構築いたしました。これによりテーマ以外の全ファイルは全く新しい公式のコードとなる事から、これでサイトが動けば、後はテーマとデータベースのコードを精査すれば改ざんを取り除ける事になります

テーマファイルや、データベースから改ざんコードを取り除く

ワードプレスドクターの持っている、典型的な改ざんコードのリストから、テーマファイルとデータベースを洗いざらい検索して改ざんコードを取り除きました。この事により、テーマのheader.phpとfooter.php,コメントスパム数千件、アップロードファイる中の不正なPHPコード数件を取り除く事ができました

アップデートによる動作不良を解決

ワードプレスやプラグインをアップデートした事により、不具合が出た場合はそちらの解決もおこないます。こちらの事例ではjQueryのバージョンアップによる動作不良やレイアウトずれが発生いたしましが、弊社にて解決いたしまし増したので、サイトの動作は全く昔のままで再現できました。

ハッカーが侵入しにくいセキュアなサイトを構築

ワードプレスドクターでは、サイト復旧後よりハッカーが侵入しにくいサイトとするために下記のような作業を行います。

全体のパーミッション(書き込み権限)の見直しと設定

ハッキングされた後は、ハッカーに脆弱なサイトと認識されるために、一度ハッキングコードを取り除いても非常にひつこくハッカーは侵入を試みてきます。このため、予断を許さない状況ですので公式のパーミッション設定よりかなり厳しめに復旧後はパーミッションを設定させていただきます(サイトの動作には支障がありません)。

ワードプレスの管理者権限のパスワードの変更

ワードプレスの管理者権限のパスワードを超強力なものに変更いたします。

wp-login.php xmlrpc.phpのアクセス制限

上記2ファイルは管理者権限奪取や、pingback機能を悪用したハッキングの踏み台となる危険性をはらんでいますので、プラグインの導入とhtaccessファイルの編集で外部からアクセス不能にしたり数度の不正なアクセスでそのハッカーを閉め出すなどの試作を行います

プレフィックス、シークレットの変更

サイトのプレフィックス(データベースの接頭子)と、サイト全体の裏鍵のような仕組みであるシークレットを協力なパスコードで置き換えます。

コメントスパム対策

コメントスパムに不正なコードや宣伝が埋め込まれないように、プラグインの導入や、過去のスパムを消去するなどして対応いたします。

ハッキングがかなり進行している場合はFTPのパスワードも変えていただきます

ハッキングがかなり不覚まで進行している場合は、FTPアドレスやパスワードも漏れている事がございます。この場合はFTPのパスワードも変えさせていただきます。

復旧後のアドバイス

hands-460865_640
サイトを復旧後は、少し様子を見て、ハッキングによる新たな改善がないかチェックいたします。またセキュアなサイトを運営していただくためのアドバイスをさせていただきます。

wordpress 改ざんからの復旧、ホームページ乗っ取りから復旧のご依頼はワードプレスドクターへ