トップページ > WordPressセキュリティ対策 > セキュリティ対策★WordPress改ざん 【サイトの修正方法&体験者の声】サイト文字化け→修正→画面が真っ白→修正→復旧完了

セキュリティ対策★WordPress改ざん 【サイトの修正方法&体験者の声】サイト文字化け→修正→画面が真っ白→修正→復旧完了

2013/09/04 16:58:40

テーマ: Wordpressセキュリティ対策

ロリポップへの大規模攻撃(対象サイトは4802件:→8428件ロリポップ発表数)がありましたね。

WordPressの設定ファイルであるwp-config.phpからデータベース接続に必要な情報を抜き出して情報を書き換えられたものです。
ロリポップが悪いみたな風評になっていますが、どこの共用サーバーも会社も同じ程度リスクがあります。
たまたまユーザー数の多いロリポップが狙われたという感じではないでしょうか。
自分はロリポップではないから!なんて他人事にしていてはいけない出来事です。

ロリポップ・interQ Wordpressサイト改ざん被害・大規模攻撃!不正アクセス!

今回のロリポップ 大規模サイト改ざんで見られる症状は

  1. サイトタイトルが「Hacked by Krad Xin」となっている。
  2. サイトのキャッチコピーが「BD GREY HAT HACKERS」になっている
  3. サイトが文字化けしている

これらの修正方法は、

  1. 文字コードがUTF-8から UTF-7に改ざんされているので設定を「UTF-8」に変更
    → これだけで対応がOKの方もいますが、次の内容も確認しましょう。
  2. ウィジェトに「テキストウィジェット」で「スクリプト」」が設定されている(スクリプトが動いている為。サイトが表示されなくなっている)場合、そのテキストウィジェットを削除
  3. サイト名・キャッチコピーが改ざんされている場合は、サイト名・キャッチコピーを修正

これで修正が完了です。

この大変な想いをした体験談をいただきましたのでご紹介します。
さらに後半は、具体的に修正方法も図説します。

 

体験談をいただくにあたって、私や私のクライアントさんは、大丈夫だったので、ご協力いただける方を探していたところ、お友達の谷田貝先生のサイトが攻撃にあい、被害を受けられたことをFBで拝見し、取材をお願いいたしました。
谷田貝先生のサイトは、今はすでに復旧されています。
ロリポップで公式に修正・復旧方法なども公開されていますが、同じように悩んでいる方に向けて、実際体験されてどうやって克服したかなどお話いただきました。

谷田貝先生 ご協力ありがとうございます。

▽谷田貝孝一様 公式サイト▽
http://yatagaikouichi.com/

谷田貝先生はWordpressでサイト制作にチャレンジされ、日々技術を磨かれて努力され、色々な方に自らの体験を通して、ご指導されていらっしゃいます。

体験談~サイト改ざんされて~

Q1.どうやってお気づきになられましたか?

自分でサイトを触りたいと思ったのですが、すでに文字が化けていて触れませんでした。
その時すでに、ロリポップからの案内が来ていて それを見過ごしたんですね。
そうしたところ 友人のFBでロリポップの被害のことが掲載されてて、自分のことだ!と気づきました。

Q2.谷田貝さんのパスワードは何ケタでしたか?

6桁です。
今は強力なパスワードに変更しました。

Q3.どうやって復旧修正しましたか?

調べて、UTF-7をUTF-8に修正しました。 しかしそれでは表示が真っ白になって、表示されませんでした。
原因は、不明なウィジットが入れられていたことでした。
ウィジットを見たときに自分が入れたものは「使用停止中のウィジェット」にはいっていて、有効化しているウィジットは見たことのないものでした。
これを削除することで、表示されるようになりました。

今回の件で、どう思われましたか?もうWPはコリゴリですか?

仕事で大事な時期だったので、正直困りました。でもなんとか 見ていただく時期に間に合い、仕事には差支えありませんでした。今、Wordpress勉強中なので、かなり大変な作業のように感じました。ロリポップも協力してくれたのでなんとかなりましたが、自分だけではどうにもならないですね。でもWopdpressはやめようと思いません。それ以上に便利で、発信しやすいツールですしね。 このようなことにならないように ますます勉強していきます。

あわせてこれも設定していただけたら幸いです

● → 初期設定ユーザーIDの削除
【ログインIDは初期設定では危険】変更ではなくて削除してください!

● → 不正ログインを重ねるとアクセスできなくする方法
不正アクセスが指定した回数をこえて不正アクセスされると、一定時間ログインできなくするプラグイン

● → 不正アクセスのログをチェックする方法
不正アクセスが どのようにあったかログをダッシュボードから確認できるプラグイン

●プラグイン「Exploit Scanner」でスキャンして、 “Modified core file” と書かれた項目がないことを確認してください。

● (可能なら)パーミッションの設定

今回のサイト改ざんの復旧の方法

では、復旧方法について ご説明します。
※他の被害に合われたサイトが同様であるとは限りません。

改ざんされた「UTF-7」を「UTF-8」に変更

WordPressはデータベースを使用しています。そのデータベースの文字コード(unicode)が「UTF-8」になります。文字が化けたのは データベースのUnicode が「UTF-8」で書かれているのに、設定を「UTF-7」に書き換えて データベースとは、違うUnicodeで参照しようとしていたためです。

そこで、unicodeを「utf-8」に修正します。

UTF-8に変更する

サイト改ざん 復旧方法 UTF-8に変更

  1. ダッシュボード(管理画面)の[設定]→[表示設定]をクリック
  2. 画面下部の[ページとフィードの文字コード] 「UTF-7」と表示されている箇所を【UTF-8】へ変更
  3. [変更を保存]ボタンをクリック

 ※【UTF-8】へ変更後、項目自体が消えることがあります。
 
 ちなみに、自分のはどうなっているかな?とみても、管理画面でこの変更ができないものもあります。そのサイトは被害にあわず無事だと思います。
 

これで、OKな方もいらっしゃいますが、次の項目もチェックして下さい。
タイトルとキャッチフレーズが 書き換えられている場合があります。
変わってない方はここはスルーでお願いします。

サイトタイトル、キャッチフレーズを修正する

サイト改ざん 復旧

  1. ダッシュボード(管理画面)[一般]をクリック
  2. 画面右側の【サイトのタイトル】と、【キャッチフレーズ】を本来の情報へ変更
  3. [変更を保存]ボタンをクリック

修正後も「サイトが表示されない(画面が真っ白)」場合

サイト改ざん被害 ウィジットに不明なスクリプトコードが明記されている

  1. ダッシュボード(管理画面)[外観]をクリック
  2. 左側サブメニューが表示されますので、[ウィジェット]をクリック
  3. ウィジェットの【テキスト】ウィジットに見覚えのない記述(スクリプトなど)がある場合は、テキストウィジットを削除するか、そのスクリプトを削除
    ※このスクリプトは、Javascriptでbodyタグの中身を消すだけのコードです。
    ブラウザでJavascriptをオフにすればサイトは見えるようになります。

このスクリプトを動かすために unicodeを「UTF-8」から「UTF-7」に変更したようです。

今回の改ざんはこれらの対応で可能です。
未確認ですが、管理アカウントが追加されている場合もあるようなので、ユーザーの確認もしてください。

最後に

今回の大規模なロリポップサイト改ざん事件では、テーマ内及びWEBサイト内(マルウェア)ウィルス等は発見されている報告は私の周りではありませんでした。
8月は、別のサーバー会社のサイトで マルウェアを仕込まれたり、データベースの内容を削除されたりなど報告を受けています。
FTTPなどでのバックアップだけではいざというときに復旧できません。データベースはFTTPではバックアップできず、「エクスポートする」必要があります。サーバー会社でデータベースの自動バックアップ体制がない場合は、ご自身でバックアップ体制を整えてください。

→ WordPressサイトの【自動バックアップ
→ 「ツール」の「エクスポート」で記事データをバックアップ(エクスポート)する方法

そして、しつこいようですが 初心者でもできる 最低限行うべきセキュリティ対策は下記になります。
1.常に最新のWordpressを利用すること
2.ID、パスワードを複雑なものにすること
3.パスワードの間違がつづいたらログインできなくする → 初心者でも対応できるWordpressのセキュリティ対策

できたら、違うサーバーの方もパーミッションの変更(wp-config.phpのパーミッションを404や400、.htaccess を 644から604に変更)まで行っていただけるとより安全になります。
→ セキュリティ対策 Wordpressとパーミッションの関係

おまけ

今回の被害は、どこのサーバー会社様も共用サーバーなら、可能性のある被害です。いろんなサーバー会社と契約しているので、どこのサーバーからも同じように設定を変更するように、ユーザーに通知するメールが届いています。

日本のサーバー会社なら サーバー側が対応を急いでくれているようなので、皆さんは、とにかく上記設定だけは 確実に行ってください。

ちなみに、難しかもしれませんが、共用サーバーは一つのサーバーにたくさんのユーザーが入っています。同じサーバー内のwp-config.phpの設定が甘い他のユーザーに次々と入って起こったようです。
そこで、ロリポップは、強制的に全てのユーザーに対して、一番厳しい400にwp-config.phpのパーミッションを変更するそうです。

→ セキュリティ対策 Wordpressとパーミッションの関係
※パーミッションとは、サーバーへのアクセス管理権限の設定のことです。
 「読み込み」「書き込み」「実行」の権限を「オーナー」「グループ」「その他」のユーザーに与えるかどうかが設定できます。グループとは共用サーバーで同じサーバーを使っている人たちのことを指し、もちろん他人なので自分のサイトへ「書き込み」「実行」はさせる必要は全くないのです。

なお、Wordpressのバージョンがバレることで被害にあうことはほぼありません。

この記事を気に入っていただけましたら下記ソーシャルボタンのクリックや、RSSやFacebookでの購読、Twitterのフォロー等よろしくお願いします!

アメブロからWordPressに移行・引越し

Wordpress移行本