ワードプレスでhtaccessが勝手に編集されて管理画面の投稿編集画面やプラグインの追加画面が500Internal Server Errorになる場合の対処方法をご紹介足します。
HTACCESSの改ざん
ワードプレスの管理画面にログインできなくなったり、投稿編集画面やプラグインの追加画面が500Internal Server Error(もしくは真っ白、403エラーの場合もあります)になる場合、HTACCESSが改ざんされて、.phpという拡張子のファイルへのアクセスが遮断されている場合があります。
改ざんされたHTACCESSの例
<FilesMatch ".*\.(py|exe|phtml|php|PHP|Php|PHp|pHp|pHP|phP|PhP|php5|PHP5|Php5|PHp5|pHp5|pHP5|phP5|PhP5|php7|PHP7|Php7|PHp7|pHp7|pHP7|phP7|PhP7|php8|PHP8|Php8|PHp8|pHp8|pHP8|phP8|PhP8|suspected)$"> Order Allow,Deny Deny from all </FilesMatch>
このような改ざんによる設定の記載はPHP関連のあらゆる拡張子のファイルへのアクセスを禁じるものです。
ワードプレスのトップディレクトリにあるHTACCESSファイルに上記のような記載がある場合はサイトがハッキングされて改ざんされている可能性が高いと言えます。
HTACCESSの改ざんへの対処方法
上記のようなPHPという拡張子へのアクセスを遮断する記載は、ハッカーがマルウェア検査プラグイン等でワードプレスの運営者がマルウェアを駆除するのを防ぐために勝手に記載している物ですので削除いただいて問題ございません。
FTPソフトウェアでワードプレスのサーバーにアクセスし、トップディレクトリのHTACCESSファイルをダウンロードして改ざんを駆除し、元のサーバーにアップロードします。
管理画面にアクセスできるようになったらマルウェア検査駆除プラグインをインストールの上、その他のマルウェアの検査駆除を行います。
改ざんがすぐに元に戻ってしまったり、アップロードできない場合
HTACCESSの改ざんがすぐに元に戻ってしまったり、ファイルの書き込み権限を書き換えてもアップロードで上書き保存できない場合、サーバーのプロセス(メモリ)に再改ざんする為のマルウェアが常駐してしまっている場合があります。
この場合、特殊なプログラムでプロセスを停止する必要がございます。
参考
続・ワードプレスで一瞬で再度改ざんされるHTACCESSとIndex.phpを修復
ただ、メモリに常駐するマルウェアに感染しまっている場合、様々なハッカー側のマルウェア駆除対策が複合的に行われている場合も多いです。
・メモリに常駐するプログラムそのものを自動で実行するマルウェアがindex.phpに感染している
・上の階層に別の改ざんHTACCESSがある
・上の階層フォルダの書き込み権限も他のプロセスから書き込み不可にされ続けている
・同サーバー上の別のドメインのプロセスに常駐している
等
こういった場合は前述のプログラムでは太刀打ちできない場合もあります。ワードプレスのマルウェア駆除の専門家にご相談いただくことをお勧めいたします。
WordPress ワードプレスのマルウェア感染の駆除・セキュリティー対策のご依頼・ご相談はWPドクターまでお気軽にお送りください
