ハッキングによって、サイトに不正なHTACCESSファイルが多数埋め込まれて、管理画面にログインできなくなる事例が増えています。今回はこちらの事例について解説いたします。

HTACCESSファイルの改ざん、大量の埋め込みによって管理画面へのログインが不可能になる事例

HTACCESSファイルは、ワードプレスのパーマリンク(URLの構造)を制御するのにつかわれる、ワードプレスの一番上のフォルダに含まれるサーバーの設定ファイルです。
このHTACCESSファイルに下記のような改ざんが行われ、また、そのファイルがワードプレスの多くのフォルダに複製されることで管理画面にアクセスできなく事例が昨今増えています。

<FilesMatch ".(py|exe|php)$">
Order allow,deny
Deny from all
</FilesMatch>
<FilesMatch "^(about.php|radio.php|index.php|content.php|lock360.php|admin.php|wp-login.php|wp-l0gin.php|wp-theme.php|wp-scripts.php|wp-editor.php)$">
Order allow,deny
Allow from all
</FilesMatch>

上記のようなHTACCESSファイルがサーバーのフォルダ内にある場合、サイトが脆弱性や管理者権限の奪取によって改ざんを受けている可能性が高いとお考え下さい。

管理画面にアクセスやログインができなくなる理由

上記の不正なHTACCESSファイルの改ざんの .(py|exe|php) ~ Deny from all の改ざん部分は、.phpという拡張子にアクセスした場合、そのアクセスをはじくという設定です。

つまり、ログインに使われるwp-login.phpや管理画面の投稿編集画面のedit.php, プラグインの追加更新を行うplugins.php にアクセスできなくなるという事になります。
このことにより、ログインできなくなったり、管理画面の機能の多くが制限されてしまいます。

その下に続く
about.php|radio.php|index.php|content.php|lock360.php ~ の部分は、上記の設定により拡張子がphpであっても、この名称のファイルへのアクセスだけは許可するという意味になります。

つまりabout.php|radio.php|index.php|content.php というの名称のファイルは、ハッカーがアクセスして使用することのできるバックドア等の不正なプログラムである可能性が高いです。

不正な埋め込みHTACCESSファイルを駆除修正するには?

この場合、管理画面にアクセスできなくなりますので、FTPソフトウェア経由で駆除するしか方法がございません。
一旦、htaccessファイルの改ざん部分を駆除したうえで、そのファイルの書き込み権限を不可にして再改ざんを防いだうえで、管理画面にログインし、マルウェア駆除プラグイン等を利用します。

※HTACCESSファイルは、そのフォルダの下のすべてのファイルに影響を与えます。管理画面の機能を制限している上記HTACCESSファイルは管理機能をつかさどるwp-adminフォルダにも複数埋め込まれている場合がございます。

HTACCESSをFTPで修正してもすぐに再改ざんされてしまう

この場合、サイトのどこかに、HTACCESSが編集されるとすぐに元に戻してしまうマルウェアがさらに含まれている可能性が高いです。

多くの場合、index.phpの最上部にそのコードが含まれています。このファイルはサイトがアクセスされるたびに実行されますので、誰かがサイトにアクセスするたびにHTACESSの再改ざんコードが走ることになります。

この場合、駆除が大変厄介になります。
一旦HTACCESSに、下記のような設定を書き込んであなたのIP以外の全アクセスを遮断したうえで駆除作業をするなどの方法がございます。

order deny,allow
deny from all
allow from あなたのPCのIPアドレス

参考
ワードプレス消してもすぐに復活するindex.phpのマルウェアの駆除

WordPress HTACCESSファイルの改ざん・大量埋め込み、バックドアの駆除を経験豊かなプロフェッショナルが行います。お気軽にご相談・ご依頼 お送りください。