WordPress

「さくらサーバー」WordPressが乗っ取られた時にやった対処方法

さくらサーバーから送られてきた警告メールに始まったWordPressが乗っ取られ改竄されていた事件。

大量のスパムメールが送られ、詐欺ページへ転送されるように改竄されていました。

1回目の対応で一度治まったのですが、1ヶ月後に再発し2回目の対応で完全に鎮静化。

その時に行った対処法を記しておきます。

あわせて読みたい
WordPressが乗っ取られた!?大量メール送信でさくらサーバーから警告が来たお話それはさくらサーバーからの「【重要】サーバ上に設置されているファイルについて」というメールから始まりました。 内容を簡単にまとめる...
あわせて読みたい
「さくらサーバー」WordPressがスパムの踏み台に!1回目の対応は間違っていた!?さくらサーバーからの警告メールで始まったWordPressが乗っ取られた話。 https://solo-phper-book.xy...

WordPressが乗っ取られた症状

今回の症状は3点あります。

  • スパムメールの踏み台にされていた
  • 詐欺サイトへのリダイレクトがされていた
  • WordPressの管理ユーザーが作られていた

それ以外の事はやられていないとは思いますが、確認した被害はこの3つでした。

プラグインを合わせれば数千あるPHPファイルの一部に不正プログラムが仕込まれていて、手作業で削除してもまた別のファイルに仕込まれるを繰り返していました。

さくらサーバーからのメールに記載されていたパスだけではなく、どこかに改竄用のプログラムが仕込まれていたのだと思います。

WordPressの管理ユーザーも作成されていたので、その時点でファイルの改竄はやりたい放題ですしね。

WordPressが乗っ取られた時の対処方

IDとパスワードの変更

まずはWordPressに関わるすべてのIDとパスワードの変更が必要です。

僕は次のように対応しました。

コントロールパネル

さくらサーバーのコントロールパネルのパスワードを変更しました。

ログイン履歴をみると不正ログインの形跡は無かったのですが、念のために変更しておきます。

さくらサーバーはコントロールパネルとFTPのパスワードは一緒なので、FTPパスワードに関しては特に何もしません。

WordPressの管理者情報

不正に作成されていた管理者ユーザーを削除。

新しい管理者ユーザーを作成して、古い管理者ユーザーを削除。

これで、新しいIDとパスワードが設定されます。

新しい管理者ユーザーを作成するだけなく、ニックネームをIDとは違う名前に変更しておきます。

ニックネームを変更しておかないと、WordPressのログインIDが知られてしまうので、必ず変更しておきましょう。

データベース

wp-config.phpにも不正プログラムが仕込まれていました。

データベースの接続情報が知られている可能性もあるので、データベースのパスワードを変更しておきます。

出来るならデータベースを新しく作った方がいいでしょう。

データベースのデータチェック

データベースのデータをダウンロードしてデータ内容のチェックを行いました。

テキストエディタの検索機能や目視で、PHPの記述やjavascriptの記述など不正プログラムがないか確認します。

問題はなかったのでこのまま利用する事にしました。

新しいWordPressのインストール

ドメインはそのままで、0からWordPressをインストールしていきます。

WordPressのインストール後は必要なプラグインとテーマをインストール。

すべてインストール出来たらwp-config.phpのデータベース情報を古い情報に書き換えるか、データベースのデータを古いデータへコンバートします。

画像コンテンツの移動

新しい場所へ新しいWordPressをインストールしたので画像などのコンテンツが見れない状態です。

古いフォルダから「wp-content/uploads」にある画像ファイルを、新しくインストールしたWordPressの「wp-content/uploads」へ移動します。

移動が完了すると画像が見れるようになるはずです。

これで作業はすべて完了

なんとかデータはそのままに復旧する事が出来ました。

行った作業の中には改造したテーマの作り直しなど、手間のかかる作業もありました。

だからテーマやプラグインまで入れ直したくはなかったのです。

でも、乗っ取られた場合は全てを0からやり直すしかないのだと思いました。

数ヶ月経った今でも、スパムメールの踏み台になる事も無く平穏にサイト運営ができています。

COMMENT

メールアドレスが公開されることはありません。