WordPressが改ざんされた後、バックアップ復元が危険な理由

WordPressが改ざんされた後、バックアップ復元が危険な理由について解説いたします。

バックアップからサイトを復元しても再感染が繰り返されてしまう理由

改ざんされたワードプレスサイトをバックアップから復元すると一時的にサイトが復旧してマルウェアの症状が消えたように見えることがあります。ただ、バックアップからサイトを復元しても再感染が繰り返されることがあります。
この原因と対策について解説いたします。

１　マルウェアが消えてない

バックアップの時点ですでにハッカーの侵入口であるバックドアと呼ばれる種類のファイルがあった場合、そのファイルも含めて復元されてしまいます。
この為、ハッカーがそのファイル経由でまた改ざんを繰り返してしまっている可能性があります。
また、バックアップから上書きでファイルを復旧した場合は、正規ファイルに感染しているタイプのマルウェアは駆除されますが単体で存在しているマルウェアファイルはそのままサーバーに残ってしまいます。

対策:バックアップから復元する場合、バックアップ時点でのマルウェア感染の有無を慎重に調べる必要がございます。またサーバー上のファイルを全部入れ替えるような復元方法が望ましいです

２　ログインパスワードがハッカーの手に落ちているか、不正なユーザーが登録されている

すでにハッカーがサイトのログインパスワードを知っていたり、不正なユーザーがサイトに登録されてしまっている場合、ハッカーが管理画面にログインできてしまい、サーバー上のファイルの改ざんやバックドアの設置、不正なプラグインの追加などが引き続きできてしまう事があります。

対策:管理者権限のパスワードの変更や、不正なユーザーの削除が有効な対策となります

３　プロセスにマルウェアが感染している

サーバーのプロセス(ファイルではなくメモリ上でマルウェアが実行され続けている形です)にマルウェアが感染している場合、バックアップからサイトを復元しても消すことが出来ません。

対策:サーバーのプロセス上で、何らかのマルウェアが実行され続けていないかの調査や不正なプロセスがあった場合はそのプロセスを停止する必要がござます。

参考
ワードプレスでプロセスに常駐するマルウェアを検出停止する方法
ワードプレスサイトのマルウェアがプロセス(メモリ)に展開されていないか調べる

４　脆弱性も復元されてしまう

バックアップからサイトを復元することで、最初にハッカーに侵入を許したサイトの脆弱性も復活してしまう事があります。

バックアップから復元した場合はプラグインやワードプレス本体のアップデートなどの脆弱性を塞ぐ対策も行う事をお勧めいたします

５　サーバー上の別のサイト経由で再感染している

昨今のマルウェアはサーバー上の別のサイト(ルートフォルダを共有しているサイト)経由で、ドメイン毎のサイトフォルダを超えて感染を広げるものが多いです。

この為、マルウェアの症状が出ているサイトだけではなく、サーバー上の全サイトにてマルウェア検査駆除・脆弱性対策を行う事が望ましいです。

マルウェア検査駆除、脆弱性検査が無料でできるWPドクター開発のプラグインをご活用いただけましたら幸いです。
【無料】ワードプレス:マルウェアスキャン＆セキュリティープラグイン [マルウェア・ウィルス検出と駆除]

また上記のような作業はマルウェア駆除セキュリティー対策の専門家集団WPドクターで１か月間の再感染無償対応保証付きで代行いたします。

お気軽にご相談・ご依頼お送りください。

WordPress ワードプレスのマルウェア駆除・セキュリティー対策のご相談・ご依頼はWPドクターまでお気軽にお送りください