ページ改ざんで、別のサイトに転送されてしまう被害を修復しました

H2O spaceの『WordPress修理・復旧サービス』にご相談をいただきました。

Googleで自社のサイトを検索すると、存在していないはずのページ名などが検索結果として表示されていて、それをクリックするとまったく別のWebサイト(ここでは、海外のECサイトの商品ページ)に転送されてしまうとのこと。

そこで、調査費用(5,500円)を頂戴して、お使いのサーバーのアカウントを弊社調査用にご準備いただき、調査を行いました。

WordPressのindex.phpが改ざんされていた

ファイル群を確認すると、WordPressの「index.php」の内容が通常のものと異なっていて、難読化されたプログラムが埋め込まれていました。ページが改ざんされ、別のWebサイトに転送されるようなしかけになっていたようです。

また、これがやっかいなのがGoogle等の検索サイトで検索をしないと転送がされず、ブックマークなどからアクセスをした場合は通常通りページ遷移します。これによって、発覚を遅らせるというしかけもされていたようでした。

バックアップがないため、原状からの復旧を試みる

ここで、もし定期的なバックアップを取得されている場合は、攻撃を受ける前の状態まで戻して公開した方が安全です。一度攻撃を受けてしまうと、さまざまな箇所に攻撃をされているため、これらをすべて取り除かなければなりません。攻撃を受ける前のバックアップデータに戻した後で、安全対策を施した方が良いのですが、残念ながら今回のケースではバックアップデータがありませんでした。そこで、現状のまま復旧を試みます。

作業費用として22,000円を頂戴して作業を開始しました。

ファイルを元に戻すも、瞬時に書き換えられてしまう

そこでまずは、攻撃を受けていた「index.php」を正常なWordPressのファイル群から上書きコピーをして、また権限で書き込み権限を外します。これで、様子を見てみようと思い、確認をしたのですがその瞬間にすでに再度改ざんがされてしまっていて、ファイルを元に戻すことができませんでした。

どうやらバックドア的な攻撃がしかけられていて、ファイルを元に戻してもすぐに再度攻撃を加えられるような状態になっていたようです。

WordPressを再インストール・セキュリティスキャン

そこで、いったん現状のWordPressを削除し、新たにインストールし直しました。コンテンツ類のみ現行サイトから抜き出し、ファイルの改ざんやバックドアプログラムが仕込まれていないかなどを確認の上で新しいWebサイトに移行し、再度公開をしました。

さらに、セキュリティプラグインである「Wordfence」をインストールし、マルウェアのスキャンを実施しました。異常が見つからなかったため、これで様子を見ることになりましたが、現在までに新たな被害は報告されておらず、後はGoogleの検索結果が元に戻るのを待つ状態になりました。

レンタルサーバーやFTPのパスワード管理にも注意

今回のケースでは、一番最初に攻撃を受けた時にどこから侵入したのかなどは確認ができませんでした。しかし、WordPressの管理画面やセキュリティホールからの攻撃にしては、バックドアをしかけるなどの攻撃も加えられていたことから、レンタルサーバーのパスワードやFTPのパスワードなどが漏洩し、侵入された恐れも考えられました。お客様には、これらのパスワードの変更・複雑化もお願いいたしました。

一度バックドアをしかけられてしまうと、対処しても対処しても同じ攻撃を加えられてしまうことになり、最悪Webサイトを捨てなければならなくなることもあります。定期的なバックアップは必ず取得し、またWordPressのパスワードだけでなく、レンタルサーバーの管理画面などのパスワードも慎重に取り扱うようにしましょう。特に個人情報などを扱っている場合は、一般的なレンタルサーバーは利用せず、セキュリティが強固なサーバーを利用した方が良いでしょう。弊社のECプランなどもご検討ください。

この記事を書いた人

アバター画像

H2O space

「ちゃんとWeb」なWeb制作会社。教育機関やNPO法人、スタートアップのみなさまのサイト制作、サイトの運用をお手伝いしています。WordPressが常に最新版にアップデートされ、安心してWordPressをご利用いただける、aquanoetes Serverを運用しています。