乗っ取り！？WordPressでつくったサイトが急に表示されなくなった話

「WordPressは世界的にシェアの高いCMSです。
だからこそ脆弱性が指摘されており、セキュリティ対策は必須です。」

WordPressでのサイト構築に携わる人なら一度は聞いたことがある話かと思います。
ただ、自分ごととして考えたことがない人も、案外多いのではないでしょうか？

私も、自分が構築したサイトが数あるサイトの中からハッキングの対象に選ばれるだなんて思いもしなかったひとりです。
そう、あの日までは、、、（猛暑につき怪談風でお届けします）

突然サイトが見れなくなった
htaccessファイルの書き換えと、見知らぬphpファイルの生成
乗っ取られてしまった…！今回やった対処法
WordPressでサイトを構築する際これだけはやっておきたいセキュリティ対策
まとめ

突然サイトが見れなくなった

ある日、半年くらい前に納品したサイトの管理者さんから連絡がありました。

「以前つくってもらったサイトが見れなくなってるんですけど？？」

早速アクセスしてみると、サイトのトップページにエラーメッセージが表示されており、正常にサイトが閲覧できない状態。
管理画面に入ってみると、テキストは表示されているものの、スタイルが効いていない状態でした。

なんだろう？？はじめて見た症状だ。

サーバーに接続してみると、ある異変に気づきました。

htaccessファイルの書き換えと、見知らぬphpファイルの生成

まず、.htaccess の更新日がここ数日の日付でした。

管理者さんに確認すると、WordPressのコアファイルは触っておらず、更新した覚えはないとのこと。
んんん、、、なんかおかしいぞ。

とりあえず、日付の新しい.htaccess を削除し様子を見ることにしました。

しかし数時間後、また.htaccess が量産されていました。
しかも、不審なphpファイルの存在にも気づきました（先ほど気づかなかった、、遅）。

今回確認した不審なphpファイル名

wp-sid.php
about.php
moon.php

※他にもあったかもですが、取り急ぎ記録しておいたのは上記3ファイルでした。

間違いない。これは「マルウェア」と呼ばれるやつだ…！

乗っ取られてしまった…！今回やった対処法

前述の通り、.htaccessは削除しても勝手に生成される仕組みになっていました。
これは基を断たねば意味がない…！
ということで下記対応を試みました。

サーバーの初期化

まず、サーバーの初期化をおこないました。
全てを初期状態に戻しますので、当然ですが
バックアップファイルがあることを必ず確認します。

レンタルサーバーの場合、サーバー会社から過去のバックアップが提供されるはずなので、
バックアップファイルが手元にない場合は
乗っ取られるより前の日付を指定してデータを提供してもらってください。

ファイルの再アップロード

初期化ができたら、ファイルを再度アップロード。
プラグインについては、最新版を使うようにしました。

各種パスワードの変更

念のため、FTP接続パスワードと、WordPress管理画面のログインパスワードを変更しました。

各レンタルサーバー会社でも

レンタルサーバーを利用している場合、サーバー会社でもマルウェア対策がなされています。

今回の件でも某レンタルサーバーを利用していますが、
異常が確認されて数日内に、不正なアクセスログがあった旨通知がありました。

サーバー会社側で対応してくれた対策
推奨するセキュリティ設定（ユーザー側でできること）
バックアップデータの復元について

など細かく書かれており、参考になったのと同時に大変心強かったです。。

データベースの可能性も疑う

今回は、スタイルが効いてないだけで、管理画面に入ればサイトの内容は見られたため
原因はサーバー側かな、と当たりをつけられて、その通りだったのでよかったのですが、
サイトの状態によってはデータベースにアクセスされている可能性も考えられるので、注意が必要です。

WordPressでサイトを構築する際これだけはやっておきたいセキュリティ対策

ここからは、上記の経験を基に、WordPressサイトを乗っ取られたときにするべき対処法、乗っ取りを防ぐ方法をご紹介します。

不要ファイルの削除

今回の場合、使っていないドメインのWordPressサイトが同じディレクトリにあり、そこに不正アクセスされてしまったようでした。

WordPressはオープンソースで乗っ取りやすいので、不要なWordPressサイトは削除することを強くオススメします。
他、同じ理由で、使っていないプラグインやテーマも削除しておきましょう。

パーミッションの変更

WordPressを設置した段階で、パーミッションも確認・変更しておきます。
レンタルサーバー会社ごとに、推奨するパーミッションを提示していますので調べてみてください。

パスワードは複雑なものを

「0000」とか「test」とかカンタンで桁の少ないパスワードは不正アクセスの大好物なので絶対にやめましょう。
（これはWordPressに限らず。）

マルウェアスキャンプラグインの導入

今回の場合は、これを導入しました。
不審なファイルを洗い出して駆除までしてくれます。

【無料】ワードプレス:マルウェアスキャン＆セキュリティープラグイン [マルウェア・ウィルス検出と駆除] – WPドクターblog

【無料】ワードプレス:マルウェアスキャン＆セキュリティープラグイン 24時間あなたのサイトを守り続ける　Wordpressサイトの改ざん、乗っ取り、ハッキング、マルウェア、バックドア、ウィルス感染をチェック(検出・確認)し駆除、ワードプレス...

無料でできる範囲は限られてるのですが、
セキュリティ対策として課金しても損はないかと思います。

他のセキュリティソフトでも良いと思います。

まとめ

以上、WordPressでつくったサイトが急に表示されなくなった怖い話をお伝えしました。
この対処が正しいとか絶対とかいう気は全くなくて、「今回の場合はこうしたよ」という話です。

ただ、未然に防ぐための対策は必須ですね。
最初一報受けたときは本当に心臓止まるかと思ったくらいびっくりしたしテンパりました。
制作者にとってもお客様にとっても、防げるものは防ぎたいですよね。

仮に乗っ取られてしまった場合ですが、マルウェアも日々進化していると思うので（怖）、
まずは冷静になって原因の当たりをつけると良いと思います。当記事がその一助になれば幸いです。

今回の対処・記事執筆に際し、下記サイトを参考にしました。
ありがとうございますmm

Wordpressサイトが改ざんされて.htaccessが勝手に書き換えられたのを修復した方法 | ushiyaDevLog

.htaccessが改ざんされて別のサイトへのリダイレクトされるようになってしまった。.htaccessを修正したが、どうやら自動で書き換えるように別のファイルも改ざんされていたので修正しました。

ページが見つかりませんでした | WordPress 修復ハッキング改ざんマルウェア | サイト修復ならWordPress救急隊

Wordpress（ワードプレス）のサイト修復ならお任せください、電話サポートあり。マルウエア感染によるWEBサイト修復・ウイルス除去・サーバー移行、セキュリティ対策、緊急時のスピード復旧対応はWordPress救急隊にお任せ！WordPr...

WordPressを運用中のサーバがまるごとPHPマルウェアに感染していた時の対応メモ - Qiita

(2021.1.26 追記) 本稿の続きを書きました。時系列で見る：WordPressを運用中のサーバが丸ごとPHPマルウェアに感染する流れ…

WordPressのxmlrpc攻撃対策　.htaccessでアクセス制限

WordPressのxmlrpc.phpに対する攻撃で503エラーが頻発するようになったので、.htaccessでアクセスを制限しました。WordPressのxmlrpc.php攻撃対策として、.htaccessによるアクセス制限は有効な手...