ワードプレスドクターでマルウェアや改ざんから復旧作業を代行させていただいたときに、稀にいただく質問に、その原因や日時を知りたいというものがございます。
こちらがわかるのかについて解説いたします。
ワードプレスはどのようにハッキングされ改ざんされる?
まず、ワードプレスがどのようにハッキングされマルウェアが埋め込まれたり、改ざんされるのかを簡単にご説明いたします。
1 古いプラグインの脆弱性
一番多いのが、古いプラグインの脆弱性を突いて、不正なコードを送り込んでサーバ上に保存してしまう方法です。
この場合、ハッカーは、サーバーにアクセスして、何らかの方法で、不正なコードを遠隔から送り込んだことになります。
つまり、遠隔からのアクセス日時、その際に送り込んだデータの内容 のログがサーバーでとられていれば、そのデータにマルウェアや改ざんコードが含まれていればハッキングの日時がわかることになります。
2 ブルートフォースアタック
2番目位に多いのが、よく使われるパスワードで数千回ログインを繰り返して管理者権限のパスワードを割り出すブルートフォースアタックと呼ばれる攻撃による管理者権限の奪取によるハッキング手法です。
この場合、繰り返しログイン施行を繰り返して、ログインが成功した日時のログがあれば、その日時に管理者権限が破られてしまったことがわかることになります。
3 サーバーの別のサイト経由でのマルウェアの埋め込み
3番目に多いのが、サーバー内の別のサイトに埋め込まれた、ハッカーの攻撃の入り口となるバックドアと呼ばれるファイルによって、フォルダを超えて複数のサイトにマルウェアが埋め込まれる事例です。
この場合、ワードプレスのファイルの編集履歴とその内容のログがあれば、ハッキングされた日時がわかることになります。
ほとんどのサーバーでこのようなログは存在しないためハッキングの原因や日時を割り出すのは難しい
上記ハッキングの日時やIPを特定するには、前述のように
・遠隔からのアクセス日時、その際に送り込んだデータの内容
・繰り返しログイン施行を繰り返して、ログインが成功した日時
・ワードプレスのファイルの編集履歴とその内容
のようなログが必要となりますが、このようなログがとられているサーバーはほとんどないといっていいかと存じます。特に一般的なレンタルサーバーではアクセスログぐらいしかとられていないのが実情です。
また、上記攻撃が成功したかを調べるには、実際のサイトで同じ攻撃を行ってみて侵入できるかを試していく必要があり、ハッカーはどのようなサイトにも、ツールを使って失敗する攻撃であっても大量に試すだけ試していきますので、成功した攻撃を割り出すのも困難であると考えられます。
つまり、ワードプレスがハッキングされた原因や日時、ハッカーのIPを特定することは非常に難しいという事になります。
この為、ハッキングの原因から解決するのではなく、マルウェアやバックドアの駆除と、ワードプレスやプラグインのアップデートとセキュリティー対策を行い、今後のハッキングをできるだけ防ぐ対策の方に重点を置く復旧作業が必要となってまいります。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
WordPress ワードプレスのマルウェア駆除・セキュリティー対策のご依頼、ご相談はWPドクターまでお気軽にお送りください
