WordPress(ワードプレス)で作ったWEBサイト・ブログがハッキングされるという被害が多発いるようです。
どうやら、古いテーマをターゲットに攻撃しているようなので、古いテーマをカスタマイズしながら使い続けている人は注意が必要です。
先日、私のサイトもハッキング被害を受けてしまったので、その時の状況と対処方法、事前にやっておくべきことを書いておきます。
2次被害を受けるのを避けるためキーワードや画面のキャプチャなどは控えますので、文章から察していただけると幸いです。
目次
被害状況
・サイトないのリンクがすべて外部サイト(ハッキングメッセージページ)に飛ばされる
・怪しい画像と怪しい音楽、「赤い目がハッキングしたぞ」的なメッセージ
・ログインできない
・cssが反映されない
確認できた範囲ではこれくらいの被害で、「.htaccess」の書き換え、知らないプラグインなどは確認できませんでした。
被害の形は色々あるみたいなので、隅から隅まで調べることをオススメします。
被害発生までの経緯
1.WPのバージョンアップ
2.なぜかもう一度「更新」が表示されたのでバージョンアップ
3.記事を書いている途中で「セッションアウト」のメッセージボックスが出てログインを促される
4.ログイン
5.乗っ取られる
・・・という流れです。
WPでは、ログインしたまま時間が経つと「セッションアウト」し再ログインを促してきます。
しかし、その場合は「記事を保存しようとしたとき」です。
今回は、「記事を書いている途中で」セッションアウトになりました。
そして、再ログインを促すメッセージボックスもいつもと違う表示。
夜中の作業で焦っていたため、疑いもなしに再ログインしてしまいました。
つまり
★記事を書いている途中などの不審なセッションアウトは気を付ける
★いつもと違うログイン表示に気を付ける
そういう状態になったとしても焦ってはいけません。冷静に対処します。
以下の作業を行うときは、くれぐれも自己責任で行ってください。
まず行ったこと
・サーバーへのアクセス制限をかけ、自分以外がアクセスできないようにした
1.自分のIPアドレスの確認
こちらのページで自分のIPアドレスを確認して、それ以外がアクセスできないようにしました。
ログインも出来ないので、「工事中」ともできないのでまずは外部からのアクセスを完全に遮断。
2.ログイン情報の変更
ログインできないのでダッシュボードからログイン情報を書き換えることが出来ません。
サーバーから、phpMyAdminに入りデータベースの「wp_users」の情報を手書きで修正します。
3.データベース内のチェック
phpMyAdmin内の検索ツールで、飛ばされるリンク先のURLを検索してみます。
すると、データベース内に大量に書き換えられたアドレスが表示されました。
そのURLをもとのURLに書き換えることで再ログインも、別サイトに飛ばされるのも修正されました。
データベース内を直接いじるのはわからない、難しいという場合は置換のプラグインを使います。
4.書き換えられたURLを修正する
フリーのプラグイン「Download Search Replace DB v 2.1.0」を使います。
こちらからプラグインをダウンロードし解凍、「searchreplacedb2.php」ファイルを一番上の階層にアップロードして「自分のサイトのURL/searchreplacedb2.php」にアクセスします。
ダッシュボードにログインできなくても、このプラグインは直接アクセスするので作業が行えます。
必要事項を入力した後、「What to replace?」のページで、「Search for (case sensitive string):」に書き換えられたURLを入力、「Replace with:」に元のURLを入力し、「Submit Search string」ボタンで置換します。
「/」などを間違えないように、くれぐれも自己責任で行ってください。
参考:WordPressでサーバ移行時にデータベース上のドメインを書き換える方
置換が終わったら、再度データベースをチェックします。
5.サーバー上の状態をチェックする
ハッキング被害で調べると、知らないプラグインが入っていたり、uploadフォルダに知らないファイルが入っていたり、.htaccessファイルが書き換えられたりされるようなので、それらをチェックします。
問題あれば修正or上書きすると良いのですが、その時の為に普段からこまめにローカルにバックアップを取っておきましょう。
画像などが入ってるuploadsフォルダ、プラグインフォルダ、テーマフォルダ、.htaccessファイル、wp-config.phpは必須です。
僕の場合、これらには異常はありませんでした。
6.PCのウイルスチェック
ちゃんとウイルス対策ソフトを入れているとしても、再度ウイルスチェックを行います。
ウイルスは、再度進化し新しいものが生まれますので、対処しきれないものも存在します。
僕はリアルタイムでウイルスをチェックするようにしていたのですが、検査すると木馬系ウイルスが5つ発見されました。
→これが原因
早急に対処して、WPサイトにちゃんとログインできるか、リンク先などをチェックします。
7.WP内のウイルスチェック
こちらのページからWP内のウイルスチェックプラグインをインストールして検査します。
問題なければアクセス制限を解いても問題ないと思います。※自己責任で
8.GOOGLEのペナルティチェック
ハッキングされた状態が長かった場合、Googleからペナルティを受ける場合があります。
ペナルティを受けているかどうかは、「Google Serach Console」→「検索トラフィック」→「手動による対策」で調べられます。
「手動によるウェブスパム対策は見つかりませんでした。」と表示されていれば問題はなく、問題ある場合は対策を行った後に再審査を申請する必要があります。
9.念のため
データベースのログイン情報やサーバーのログイン情報も変更しておいたほうが良いと思います。
そして、同じログイン情報は二度と使わないほうが良いでしょう。
できれば、WPをすべて一旦削除して再インストールするまですると安心ですね。
被害を受けても今までの努力が無駄になるというわけではないので、落ち着いて冷静に対処してください。
以上を踏まえて、今回のハッキングの原因をまとめますと・・・
ハッキングされた原因
1.PCにウイルスが入っていた
2.WPのテーマを古いものを使っていた
3.どうやらWPの4.7~4.7.1あたりがセキュリティの問題があったらしい
・・・ということです。なので・・・
普段から行うべきこと
1.バックアップをこまめに取っておく
2.PCのウイルスチェックは自動に任せない
3.WP普段と違う画面や動きに注意する
4.WPのテーマを定期的に新しいものにリニューアルする
・・・です。
詳しいことはこちらにまとまっているのでチェックしてみてください↓↓↓
参考:FAQ/ハッキング・クラッキング被害
何度も言いますが、くれぐれも自己責任で行ってください。
以上です。
Byさちお
元シンガーソングライターで、メンズ美容ブログ、パンブログもやってます。たまにテレビに出てたりします。最近はTikTokも頑張ってます。
