ワードプレスサイトで一度サイトがハッカーによる改ざん・マルウェア埋め込み、ウィルス感染した場合、駆除したと思っても繰り返し改ざんする場合があります。その場合の対処方法を解説いたします。

繰り返しハッカーに改ざんされる理由1 管理者のパスワードが漏れている

ワードプレスは一度ハッキングを受けた場合、管理者のパスワードがすでに突破されていることがございます。ワードプレスの管理者権限を奪取されると、ハッカーはどのようなファイルでもサーバーに設置すること、書き換えを行うことができるようになります。

対処方法

ハッキングを受けた場合は、ワードプレスの管理者権限のパスワードを一度すべて変えることをお勧めいたします。

繰り返しハッカーに改ざんされる理由2 脆弱性のあるファイルがそのままになっている

ハッカーがサイトを改ざんするとき、50%ぐらいはワードプレス本体やプラグインの脆弱性を利用します。サイトをクリーンアップしたとしてもこれらの脆弱性が放置されてしまっている場合、再度その脆弱性からハッキングを受けてしまうことになります。

対処方法

ワードプレス、テーマ、プラグインを最新バージョンにし、不使用のプラグインを削除します。

繰り返しハッカーに改ざんされる理由3 バックドアの埋め込み

バックドアとは、サイトの改ざんを行うための入り口となるプログラムファイルです。一度サイトが改ざんされてしまうと、このバックドアがサイトのどこかに書き込まれているか、埋め込まれている可能性があります。
ワードプレスのバックドアを検出できる、マルウェアスキャナー等で検査してバックドアがないか調べてみましょう。

参考
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]

繰り返しハッカーに改ざんされる理由4 データベースへの直接アクセス

ワードプレスのあるサーバーにデータベースを修正できるPHPMYADMINなどのデータベース接続プログラムが同時に設置されていませんか?
ハッカーは、ハッキングが成功したワードプレスサイトのwp-config.phpファイルを取得して、データベース接続情報をすでに手に入れているかもしれません。データベース接続情報をとられているうえに、PHPMYADMINがサーバー上にあるとハッカーはいつでも好きなようにデータベースを書き換えることができます。

データベースを書き換えることができるということはワードプレスの管理者としてログインできるということでもあります。

対処方法

データベースのパスワードを変更しwp-config.phpファイルの接続情報も書き換えます。またPHPMYADMINがある場合は、わかりにくいフォルダの名称にされるか削除されることをお勧めいたします。

繰り返しハッカーに改ざんされる理由5 ルート権限の乗っ取り

ワードプレスのサイトが、VPS、AWS、専用サーバーなどのルート権限もユーザーに与えられるサーバーにある場合、ハッカーがPHP経由でサーバーそのものを操作するコマンドを発行してサーバー全体のルート権限もしくはそれに近い権限が奪取されてしまっている可能性も稀ですがございます。
この場合、最も安全な方法は、サーバーそのものの再インストールとなるかとは存じます。VPS、AWS、専用サーバーではサーバー自体のセキュリティーも考慮しなければいけなくなるため、ワードプレスは共用サーバーで十分運営できるようにできていますので共用サーバーで運営される方がよいかと存じます。

WordPress ワードプレスがハッキングされたら、ワードプレスドクターがマルウェアの除染・セキュリティー対策を代行いたします。お気軽にご依頼・ご相談をお送りくださいませ