WordPressの脆弱性対策をしないうちに、自サイトが改ざんされた話

今朝、目を覚ますと1通のメールが届いていた。自サイトのお問い合わせフォームからだった。

「あなたのブログは改ざんされていますよ」

という内容だった、寝起きだったため何の事だろうと思っていた。少し経って改めてメールの本文を見たら、自サイトにある記事のURLが書いてあった。開いてみると、上記のような表示に書き換えられていた。

「これが改ざん?というものなのか。。」

という反応だった、こんな事は初めてである。事業所に着き次第、内容の確認に取り掛かった。ここでは、状況の確認から対処までの流れを書こうと思う。

まずWordpressのダッシュボードを確認した。すると

アクティビティに「Hacked By SA3D HaCk3D」という文字があった。これが改ざんされた記事だというのがひと目で分かった。

次に更なる改ざんを防止するため、Wordpressのバージョンアップを行うことにした。ダッシュボードには「WordPress 4.7.2が利用可能です!今すぐ更新して下さい。」とあったので、「今すぐ更新して下さい」をクリック。

WordPressの新しいバージョン「WordPress 4.7.2-ja」を更新すべく、「今直ぐ更新」をクリックした。

しかしインストールは失敗した、どうやらファイルのパーミッションが書き換えられている様子。とりあえず、ファイルやフォルダのパーミッションをapacheに管理させられるように変更しておく。

$ chown -R apache:apache [Apacheに管理させたいフォルダ名]

再び「今すぐ更新」を押したら、WordPress 4.7.2へバージョンアップさせることができた。

次に改ざんされた記事のリカバリーである、WordPressでは記事毎にリビジョン管理機能がある。改ざんされても、改ざん前の状態に戻せるのである。

投稿の編集画面を出すと、右上に「リビジョン」という項目がある。ここをクリックしてほしい。

そうすると、リビジョン比較のページが表示される。ここを確認すると、改ざんされた日付が確認できる。私の場合、2月6日 00:53に改ざんされた事がわかる。

「前へ」ボタンを押すと、一つ前(改ざん前)の状態が表示される。

最後に「このリビジョンを復元」をクリックすれば、改ざん前の状態にリカバリーできる。

「Hacked By SA3D HaCk3D」というキーワードで検索すると、結構な数の改ざんされたページが確認できる。

今回は、青森県弘前市にあるクオリア様にメールを頂き判明しました。
この場を借りてお礼申し上げます。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です