ロリポップは多数のワードプレスサイトをホスティングしていることで有名なサーバーサービスです。ロリポップでホスティングされているワードプレスサイトはバージョンが古いことも多く、ハッキング被害が多発しています。今回はロリポップサーバーでワードプレスがハッキングされているときの対処方法(応急処置)をお知らせいたします。
またWordpressの4.7では、深刻な脆弱性も発見されていることからこのバージョンのワードプレスをお使いの方は、新しいバージョンとはいってもご注意いただく必要があります。


internet-1862312_1280

ロリポップからハッキング検出メールを受け取ったら?

ロリポップは独自のハッキング検出機能があり、スパムメールの配信や管理画面への総当たり攻撃を自動検出して警告メールを送信します。もしこのメールを受け取りましたら高確率でハッキングを受けている可能性があると考えてください。
ハッキングによるサイト改ざんを受けてしまうと下記のような被害が今後拡大していく可能性がありますので早めの対策をとることをお勧めいたします。

●スパムメールの配信元になってしまい、ドメインがブラックリストに登録され一切メールの送受信ができなくなる
●ウィルスを様々なユーザーのコンピュターに感染させてしまう
●Googleやブラウザのブラックリストに登録され、検索結果から消えてしまう。ブラウザでサイトにアクセス不可能になる
●別のサイトへの攻撃の踏み台となってしまう
●詐欺商品をサイト上で販売されてしまう
●何らかのオンライン犯罪の踏み台となってしまう

改ざんの痕跡を見つける

ワードプレスが改ざん被害を受けると、様々な痕跡がサイトの管理画面やアクセスに表れます。その代表的なものを挙げさせていただきます

●メールの送信数が急激に増えている
※スパムの踏み台になっている場合です。こちらもアクセス解析ではなく、サーバーのアクセスログに表れることが多いです
●大量の意味不明な言葉やURLがコメントに書き込まれている
●サイトが突然レイアウト崩れをした
※改ざんのコードがWordPressのテーマに干渉して起こります
●ログインできなくなった 
※管理者権限のパスワードが書き換えられています
●ワードプレスの管理者ユーザーが知らない間に増えている
●アクセス数が急激に伸びている 
※アクセス解析ではなく、サーバーのアクセスログに表れることが多いです
●知らない間にワードプレスのディレクトリ内に大量のフォルダやファイルが増えている
●サイトが非常に重くなった 
※改ざんファイルがマルウェアの配布元サーバーから不正なファイルを読み込むときにその不正ファイル配布先がすでに消えていたりする場合がありこのファイルが取得できないためサイトが重くなります
●投稿画面でいくつかの機能が使用できなくなった 
※改ざんのコードがWordPressの機能に干渉して起こります

また、下記のようなサイトでウェブサイトのウィルスチェックも加えて行ってみましょう

トレンドマイクロ サイトセーフティ センター
http://safeweb.norton.com/
ノートンセーフウェブ
http://global.sitesafety.trendmicro.com/index.php
SUCURI(おすすめ)
https://sitecheck.sucuri.net/
ワードプレスの脆弱性のチェック
こちらから
内部からのマルウェア検出
こちらから

ハッキングによる改ざんをサイトから排除するには?(応急処置)

ハッキングをサイトから排除するには非常に専門的な知識が必要となります。弊社では、様々なご依頼から収集した改ざんパターンからサイトをスキャンし改ざんコードの排除をもってサイトを復旧いたしますが、とりあえず応急処置として下記の方法でサイトの改ざんを幾分か排除することは可能です。しかし、あくまでも応急処置で、サイトの改ざんの入り口をすべて止めれるわけではありませんのでご注意ください。(このまま放置すると再感染のリスクがあります)
スパムメールの送信やマルウェアの配布などの2次被害をいったん止めるための処置です。

0 サイトのバックアップと、データベースのバックアップを取得します

1 テンプレートを新たにダウンロードしてそちらのテンプレートにサイトを入れ替えます
2 プラグインをすべて停止します。どうしても必要なプラグインはサイトからZIPファイルをダウンロードしてFTPで過去のプラグインを削除したうえで再インストールします
3 ワードプレス本体をアップデートします
4 増えたユーザーを削除し、管理者ユーザーのパスワードを変えます
5 増えているコメントを削除します。サイトのコメント機能をすべて停止します

ロリポップ社からのメールの改ざんプログラム部分をチェックする

改ざん通知メールを受け取った場合は、そのメールに記載されているファイル名をチェックし、FTPなどでダウンロードして目視検査の上改ざん部分を排除します。
ただ、ご注意いただきたいのは、編集されようとしているファイルがphpファイルの場合、ワードプレスのの正規のコードを削除してしまうとエラーが発生してしまい、ワードプレスのサイト自体がアクセス不能となる可能性があります。改ざんコードは下記のような難読化されたコードの場合が多いです。

参考記事 ワードプレスドクターが復旧したWordPressの改ざん被害実例コード

再度、ウィルスチェックを行います

上記の応急処置が終わりましたら、再度サイトの感染状況を調べてみましょう。

SUCURI(おすすめ)
https://sitecheck.sucuri.net/

もし、最初に感染が検出され、次に検出されなくなったら応急処置は成功です!弊社では、この後さらに詳細に検査して完全ウィルスの排除や、プラグインやテーマの再生、再感染予防の施策が可能ですので是非ご相談ください。ハッカーの侵入口を完全に止めてしまうことが最も重要です。

WordPress(ワードプレス)でサイト改ざん被害にあった場合のサイト復旧はワードプレスドクターにご依頼ください。コストを抑えて、最短1日で復旧、マルウェアの排除、再感染を防ぎます