わぃのWordPressサイトが改ざんされてもた

なんてこった!わぃのWordPressサイトが改ざんされてしまった!パスワードはかなり強固だし、WordPressのバージョンやプラグインもほぼすぐに更新していたのに・・・。


突如、WordPressサイトがForbiddenに

異変が起きたのは本日の17時頃。
いいネタが出来たのでブログを書こうとyogawa.comの管理画面のURLを叩いたらForbidden表示になってサイトが閲覧出来ず。

一瞬何が起きたのか分からなかった。URLは・・・合っている。別のブラウザで見ても同じくForbidden。

FTPは・・・入れた!サーバーには入れる。ファイルは一見普通・・・に見えたのだが、変なファイルやフォルダが出来ている。

WordPressが入っているディレクトリ直下に見慣れないshopとか変な名前のファイルが出来ている。これは知っている・・・前にもあった・・・

不正アクセスだ

なんかしらの方法で不正アクセスされ、怪しいファイルを置かれている。やられたわ。

恐らくレンタルサーバー側でわぃのサイトを封印したのだろうと思いメールをチェックしてみると、やはりsixcoreからメールが来ておりました。

【重要】sixcore お客様のサーバーアカウントにおけるフィッシングサイトの検知および制限の実施について

〜〜〜〜〜〜
お客様のサーバーアカウントにおいてセキュリティ関連機関である「JPCERT/CC」から、フィッシングサイトが開設されている旨の報告が寄せられました。

▼報告のあったURL
——————————————————-
http://yogawa.com/wp-content/redir/

※不正なコード等が挿入されている可能性があるため、
 上記URLへ直接アクセスなさいませんよう、ご注意ください。
——————————————————

上記を元に下記サイトにてセキュリティ調査をいたしましたところ、
【フィッシングサイトが検出された】との調査結果が表示されております。

(ご参考)
 http://www.aguse.jp/
 http://check.gred.jp/
 ※入力したサイトの「運用サーバー」や「セキュリティ状況」等を総合的にチェックするサイトです。

これを受け、当サポートにてセキュリティ調査を行いましたところ、お客様がご利用のプログラムにセキュリティ上致命的なバグ(脆弱性)が存在し、当該脆弱性を第三者に悪用されてしまった可能性が非常に高い状況でございました。

そのため、事後のご案内となり大変恐縮でございますが、緊急措置として下記制限を実施しております。

▼サポートにて実施した制限内容
——————————————————-
・当該ドメイン名に対する緊急的なWebアクセス制限を実施

 ※上記処理に伴い、Webアクセスを行うと403エラーとなる状況です。
——————————————————-

スパムメールの大量送信やフィッシングサイトの開設などの『不正アクセス』によるさらなる被害の発生を防ぐため、上記対応を実施しましたことを何卒ご了承くださいますようお願いいたします。
〜〜〜〜〜〜

メールは一部を抜粋。この後には解除方法が書いてあるが、解除するには初期化が必要であった。まぁどこに不正ファイルが入ってるかわからないので初期化するしかないでしょうな。

にしても驚いたのはsixcoreの対応の早さ。今日の昼過ぎまでは見れててこのメールが来たのが16:26だから、不正アクセスされて数時間でサイトの停止・連絡をしてきている。この対応の早さは素晴らしいですね!ちゃんと管理してくれてるって感じがして安心出来ます。

というわけでサイトの方はとりあえず初期化するしかないので初期化。数日前に取っていたバックアップから復旧し、ここ最近の記事は手動で(最近の記事の画像はサーバから落とし、記事内容は初期化する前にphpmyadminでDBに入って確認)復旧させた。

今回の教訓

WordPress本体・プラグインを常に最新にしていてもアタックされて不正アクセスされる事は有ります。狙われたらもうしょうがないのであきらめましょう(笑)

※ただ、穴(セキュリティホール)を少なくするという点ではWordPress本体とプラグインの更新はまめに行いましょう

という事で、いつサイトがおかしくなっても復旧出来るようにサイトのバックアップを定期的に取っておきましょう。

BackWPUpで確実にWordPressのバックアップを取る方法

バックアップを定期的に取っていれば、サイトを壊されようが改ざんされようがサーバを追い出されようが何が起きても時間を掛けて書いた大事な大事な記事達は復旧出来ます。

にしても1日500PVぐらいしかないこんなブログも狙われるとは・・・閲覧数が少ないからといって安心は出来ませんね。