★★★ たった "1日" でできるWordPressブログの作り方講座 ★★★ はじめてみる

当WordPressブログを乗っ取りされかけた件【現在は復旧済み】

※ 上画像は改ざんされたファイルの実際の内容

当ブログは開設3年目くらい。

その中で初めての大事件です。

WordPressブログの乗っ取り!!

実際は乗っ取りされたのではなく、乗っ取りされかけたが正しいですが・・・今もかなり戦々恐々してるけど、なんとか乗っ取りから復旧できました。

そこでこれからWordPressを始める or 始めている人に向け、乗っ取り/ハッキングに遭ってしまったときの実体験とか対策 とかを残しておこうと思います。

なぜかWordPress管理画面にアクセスできなくなる

私は毎日WordPressログインしてます。

ただその時は年末年始だったので、
数日くらいアクセスしてませんでした。

そして久しぶりに管理画面にアクセスしたとき・・

いつものようにWordPress管理画面に行こうとしたら「You don't have permission to access this resource.」のエラーが・・・

You don't have permission to access this resource.

あれ・・・?なんで・・・?

3年以上WordPress運営していて初めての経験。というか過去6年以上のWordPress歴でも初めてです。管理画面に行けずにパニックになりました。

でもこういうトラブルが起きた時、あれこれ触ると余計悪化することを自分は知ってます。いったん深呼吸して落ち着くことにしました。

原因はバックドアを仕掛けられたことだった

こういったトラブルの場合・・・

次の2つの原因が考えられます。

  • プラグイン・テーマの不具合
  • ハッカーによるWordPress乗っ取り

今回のケースではプラグイン・テーマがどう頑張ってもできない改変が起きてました。また不審なファイルがたくさん生成されてたので後者(WordPress乗っ取り・ハッキング)だとすぐわかりました。

つまり バックドア が仕掛けられてたんです。

バックドアとはこういうやつ

バックドアとは、英語で直訳すると「勝手口」「裏口」のことで、セキュリティの分野では「コンピューターへ不正に侵入するための入り口」のことです。

悪意を持った攻撃者が、ターゲットとなるコンピューターに侵入するための入り口を作るケースや、プログラムにあらかじめ入り口が作られており、侵入できるようになっているケースなどいくつかの種類があります。

引用元 : https://cybersecurity-jp.com/column/23148

上の説明では「コンピューター」となってますが、ここでは「WordPress/サーバー」と読み替えてください。WordPressの脆弱性は主にプラグインが原因なことが多く、それが攻撃者への入り口を作ってしまうことが多いです。

そうなると今回の自分みたいに不審なファイルをアップロードされてしまい・・・管理画面にアクセスできなくなったり、最悪サイト乗っ取りとか、サイバー攻撃の踏み台にされます。

原因を1つ1つ探って復旧することに...

大きな原因が分かったので・・・

次は原因1つ1つを潰すことにしました。

時系列順に復旧までの流れはこんな感じ。

1.htaccessが改ざん・編集できないことに気付く

最初に気づいたのは .htaccess の異変

全ての .htaccess がこういう内容になってたんです。

<FilesMatch ".(py|exe|php)$">
 Order allow,deny
 Deny from all
</FilesMatch>
<FilesMatch "^(about.php|radio.php|index.php|content.php|lock360.php)$">
 Order allow,deny
 Allow from all
</FilesMatch>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

このように htaccess が改変されたので、今までの gzip圧縮配信 だとか ブラウザキャッシュ延長 とかの設定もすべて消えてしまいました・・バックアップ取っといて良かった (T_T)

この htaccess にある FilesMatch ".(py|exe|php)$" という部分。ここでphpを無効化(?)しているようなので、管理画面へのアクセスができなくなったみたいですね。

そこで htaccess を修正しようとしたんですが、ファイルパーミッションが 044 になってて編集できません。そこで 0644 にして編集してみます。

するとこういう現象が。

  • ひとまず編集自体は成功する
  • その状態でブログ閲覧する
  • なぜかhtaccessが編集前に戻る
  • パーミッションも044に戻ってしまう

この現象を目の当たりにしたので、プラグインの仕業でないと判明しました。どう考えてもバックドアなどが仕掛けられ、自動でファイル改変するスクリプトが仕組まれてたみたいです。

2.不審なphpファイルが生成されていた

そして次に気づいたこと

次の名前のファイルがあちこちに生成されてました。

  • about.php
  • content.php
  • wp-info.php

どうやら about.php , wp-info.php はファイルのアップローダーと思しき内容。そして content.php は暗号化されたいかにも怪しいコードが埋め込まれてました。

content.phpの一部内容

そこで取りあえず上記のファイルを探し出し、しらみつぶしにリネームしていくことに。プラグインディレクトリとかにもあったので、この作業がメチャクチャ大変だった・・・

ところが、これでも問題は解決しません。

3.SSH接続して変なプロセスをキルする

どうやらサーバー内部にも侵入してたみたい

なぜそれに気づけたかというと、とあるファイルを編集したときのことです。上書きした段階でファイルパーミッションが 044 になり、編集内容も元に戻りました。

そういった動作はWordPress単体では不可能です。これはサーバー側でCronジョブやらバッチ処理が働いてる としか考えられないんですよね。

そこで以下マニュアルを参考にSSH接続しました。

SSH接続は何事もなく完了

そして全プロセルを次コマンドで確認

ps -A

こういう感じで表示された

46603  -  S     0:40.10 /usr/local/php/7.4/bin/php /home/xxx/www/xxx/l.php
54245  -  S     0:00.24 sshd: fukuro-press@pts/0 (sshd)
61590  -  S     0:00.30 /usr/local/apache/bin/httpd -f /home/config/users/xxx/http/user-httpd.conf
61725  -  S     0:00.23 /usr/local/apache/bin/httpd -f /home/config/users/xxx/http/user-httpd.conf
61728  -  S     0:01.14 /usr/local/apache/bin/httpd -f /home/config/users/xxx/http/user-httpd.conf
88453  -  S    33:07.37 /usr/local/php/7.4/bin/php /home/xxx/www/xxx/wp-content/themes/simplicity2/responsive-test/lock360.php
54247  0  Ss    0:00.14 -csh (csh)
62044  0  R+    0:00.00 ps -A

なんか l.php とか lock360.php とかいかにも怪しいのが・・・そして該当するディレクトリ探しても、そういったファイルは見つかりませんでした。ますます怪しい |゚д゚)

そこで次コマンドでキルしました。

kill 46603
kill 88453

単純にプロセス番号を渡すだけ。

これだけで不審プロセスを一掃できました。

4.htaccessとその他ファイルを修正

これでファイル変更が問題なく行えるように

以下ファイルを元に戻す作業をしました。

  • .htaccessを元に戻す編集
  • index.phpの不正コード削除
  • 他ウィルスファイルの削除

自動改変を行うプロセスをキルしたので、 .htaccess も無事編集でき、index.php の不審なコード(暗号化された意味不明なコード)も削除可能に。

そして管理画面へのアクセスが復旧!!

何とか復旧できてホッとしてます。

自分のようにWordPress乗っ取りされないための対策

という感じでWordPress乗っ取りを解決しました。

自分は早期に気づけたので運がいい方ですね。

もし私と同じ目に遭いたくないなら、
次のような対策を常日頃からやってください。

1.プラグインをこまめに更新する

今回のWordPress乗っ取り事件・・・

プラグインの脆弱性によるものと思われます。

なので必ずプラグインは更新すべき!

自分自身はWordPress乗っ取りされる前にプラグイン更新をかなり怠ってました。記憶があいまいだけど10個くらい未更新のものがあった気がします。

こういった乗っ取り・ハッキングに遭いたくないならプラグイン更新しないとダメだと思います。自分もすぐ更新するように習慣付けようと思います(反省)

2.毎日WordPress管理画面にアクセスする

私が乗っ取りに気づけのは運が良かったから

でも私自身、毎日WordPress管理画面にアクセスするという習慣もあります。そのおかげもあって異変にすぐ気づくことができました。

だから早期に気づけるように管理画面とかブログには毎日アクセスするのがベストです。半年とか1年もblog放置してるのは論外です。

そしてトラブルに自分で対処できないなら・・・

こういったサービスで相談するのも1つの手です。

特に ココナラ なら専門家に相談できます。
そして必要なら作業代行とかも依頼可能です。

ちなみに・・・

私自身もココナラで解決相談を実施してます。

WordPressのトラブル解決相談始めました!
WordPressが真っ白になった、デザインが崩れた・・・そんなWordPressのトラブル解決相談ができるサービスをココナラで始めました!もしWPのブログ運営で困った時は是非ご利用ください。お得な割引情報もお知らせ・・・

もしお困りならご相談ください。
もちろん作業代行もご依頼可能です。

今回は私自身がハッキング・Wordpress乗っ取りに遭ってしまったので、まるで自分自身に依頼して解決してるような感じでした(笑)ただいい経験になったかなと思ってます。

とにかく乗っ取りから復旧できてホッとした

こんなそんなで乗っ取りから復旧できました。

最悪の事態も想定してたので、今はホッとしてます。

皆さんもWordPress乗っ取りには気を付けてください!

以上、WP乗っ取りから復旧したという話でした。

The following two tabs change content below.

フク郎

昔はプログラミングに熱中していたが、ブログとWordPressに興味を持ち始め今はサイト・ブログ作りが生きがい。自分の「好き」をブログに変えたい、情報発信したい人に役立つWordPress術・サイト構築術を発信中。一日一歩楽しんでブログ構築できるように読みやすい&楽しい記事作りを心がけています。