yahoo知恵袋でこんな質問が投稿されている。投稿されたのはつい先日の10月17日。内容を引用させていただくと以下のように書いている。Wordpressの不正アクセスについて教えてください。
index.phpと.htaccessが書き換えられていました。(中略)
書き換えられた後のindex.phpの中身は以下の通りです。
<!–?php error_reporting(0); ini_set(“display_errors”, 0); include_once(sys_get_temp_dir().”/SESS_48cd7517d21176f980daa5502d9efb31″); ?–>
<!–?php mysql_close($conn);?–>/SESS_48cd7517d21176f980daa5502d9efb31 で検索しますと、
どうやら不正アクセスに遭ったとみられるサイトがぞろぞろヒットします。
ただ、どういった内容のものなのか、情報がほとんどありません。
ご存じでしたら教えていただけないでしょうか?
とのことです。
状況をまとめてみる
まずどのような事象が起きたのか今一度、情報を整理しよう。
- 投稿者はWordpressを使ってサイトを運営している管理者
- .htaccessとあるのでApacheを使用している
- コードからMySQLが利用されている
- このような環境でこの投稿者のWordpressサイトは被害を受けたようです。
他にも被害者が…
このような被害を受けているのは、この管理者だけではなく、世界中に広がっているようです。ある海外のフォーラムには、.htaccessがどのように改変されているかが紹介されていました。
|
1 2 3 |
RewriteCond % {HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR] RewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing) RewriteRule ^.*$ index.php [L] |
このように.htaccessが書き変えられたようです。
また、この質問をした投稿者の書いてあるように、「/SESS_48cd7517d21176f980daa5502d9efb31」で検索をかけてみますと、多くのサイトがヒットします。
なんとその数76,500件!!それらすべてが被害を受けたわけではないでしょうが、これだけ多く広まっているといえるでしょう。
何が起こっているのか
改ざんされたサイトをGoogleやbing,yahoo,msn,AOLなどの検索サイトで調べて、そこからアクセスすると別ページにリダイレクトされてしまいます。これはいわゆる、「ブラウザハイジャック」などと呼ばれています。そして、その原因はコードインジェクション攻撃と呼ばれているものです。
何らかの手口によって、Wordpressの管理画面にログインできた攻撃者は、PHPのコードをページに埋め込もうとします。このexploitコードを利用して、.htaccessの書き換えを行います。.htaccessの書き換えによって、改ざんされたページに検索エンジン経由でアクセスすると全く関係のない別ページへとリダイレクトされてしまう、という事象が発生します。
リダイレクトで別ページへ飛ばされるだけならまだしも、Wordpressの管理者権限を取られたり、サーバーを踏み台にされたり、さらにはマルウェアに感染させられれて何度パスワードを変えても書き換えられる、という事象が発生してしまいます。もちろん、記事自体も消されてしまう可能性もあります。
ページを改ざんされたらすること
その1 パスワードを変更する
真っ先にやらねばならないのはこれです。まずは二次被害を防ぐためにも、ありとあらゆるパスワードを変更しましょう。
Wordpressのパスワードはもちろん、サーバーのFTP,SSHで使っているパスワードもすべて変更します。
念を入れたいのであればユーザーも一通り作り直してもいいかもしれません。
とにかく、このサイトに誰からもアクセスされないようにすることが第一です。
その2 不審なものを徹底的に削除する
攻撃者に侵入された後は、そのサイトやサーバーがどこまで安全なのかということはまったくもって保障されません。なので、疑わしいものは徹底的に削除していきましょう。
もしくは定期的にバックアップを取っていたのならまずは落ち着いてリストアしてみましょう。
ただし、セキュリティ対策は必ずしなければなりません。リストアしたことによってまたハッキングを受けるなんていうこともありえます。
具体的には
- 不審なユーザー(OS側、Wordpress側のどちらも)
管理画面に入られるのであればユーザーは真っ先に確認しましょう。見慣れないユーザーがいたら問答無用で削除すること!
- 不審なタグ
投稿内にある不審なタグは徹底的に削除していきましょう
- 不審なテンプレート
- 不審なプラグイン
見慣れないプラグインが入っていないか確認しましょう。また、どちらも使っていないものは削除しましょう
その3 コアファイルが書き換えられていないかを確認する
WordPressのコアファイルとはデフォルトではwp-******.phpとなっているwordpressの重要なファイル群です。
これらが書き換えられていないかをチェックしましょう。
チェックするには、プラグインが用意されていますのでこれを用います。
プラグインをインストールした後に、管理画面で[ツール] – [Exploit Scanner]にアクセスして、[Run the Scan]をクリックします。
不審なコードが見つかったら、その該当箇所を削除するようにしましょう。
その4 ブルートフォースアタックを防ぐ
WordPressの管理画面の権限を奪取する方法の一つにブルートフォースアタックがあります。これを防ぐには、1ユーザーが一度のアクセスを制御する方法があります。Apacheを使っているのであれば、以下の記事にアクセス制御する方法をまとめていますので、ごらんください!
その5 管理画面からテンプレートを編集できないようにする
また万が一、Wordpressの管理画面に入られてもtemplateを書き換えられないようにすることができます。管理画面上からは編集をすることを禁止してしまえば、更新は大変にはなりますがセキュリティは向上します。
|
1 |
define('DISALLOW_FILE_EDIT',true); |
このコードをwp-config.phpの適当な場所に書き加えれば、管理画面上からはテンプレートを編集することができなくなります。
まとめ
このようにWordpressで、万が一不正アクセスをされてしまったら、というTipsをいくつか紹介いたしました。しかしながら、これを施したら絶対に安全というものではありません。一度侵入を許してしまっているので、攻撃者からは”攻撃しやすいサイト”として認知されてしまいます。やはり、はじめのセキュリティ対策が一番大事だといえますので、日ごろからセキュリティの向上を心がけていきましょう!
![(APSB16-32 )[ニュース] Adobe Flash Player に複数の脆弱性。早急にアップデートを!](https://se-cure.info/wp-content/uploads/2016/10/Adobe_Flash_Player_v10_icon-150x150.png){kind=icon}
![(CVE-2016-2776)[ニュース] DNS サーバ BIND の脆弱性](https://se-cure.info/wp-content/uploads/2016/09/bind9-150x150.png)
