Follow Me!! →Twitter

WordPressがハッキングされた時の対処法(Hacked By 3lectro From Team_CCのケース)

WordPressがハッキングされた時の対処法

このブログ、当記事執筆時点でまだ1記事も公開していないのですが、バックドア型ウィルス?マルウェア?にやられてしました。

私なりに対処法を見つけたので、備忘録として残しておきます。

ハッキング(Hacked By 3lectro From Team_CC)の症状

海外のサイトへリダイレクトされる

ブラウザでこのブログを開くと、海外のサイトにリダイレクトされることに気づきました。

一旦(ttps://ad.suniglasses.com/ad.html)にリダイレクトされ、その後海外のサイトにさらに飛ばされる状態。

今回の転送先は以下のサイトでした。

ハッキングされてリダイレクトされるサイト

 

当ブログのソースを開いて見てみると、

ハッキングされたブログのソース

怪しいスクリプトが仕込まれているようです。。

 

WordPressログイン画面を開いてみると、

ハッキングされたブログのWPログイン画面

ご親切に「Hacked By 3lectro From Team_CC」と表示されています。

完全にやられてますね。笑

同じレンタルサーバー(mixhost)で運用している別のWordPressサイトも感染

同サーバーに入れている別ドメインのWordPressの全てが同じ症状になっていました。

mixhost」はアカウントごとに(●●.mixh.jp)といったサブドメインが割当られる仕様となっています。

サブドメイン直下にファイルを置いていない場合、同サーバー内に設置しているドメインの一覧が表示されてしまうので、今回はそれが原因だったのかもしれません。

ハッキング詳細の確認、対処方法を模索

1.「Hacked By 3lectro From Team_CC」でググってみる

同じ症状にあった方が症状や対処法を記事にしてくれていないかとGoogleで調べてみましたが、日本語のサイトで対処法が書かれているものは見つかりませんでした。

検索結果にはハッキングされたWordPressサイトがズラズラと並んでいます・・・。

作りかけのアフィリエイトサイトやサテライトサイトがほとんどでした。

2.Google Serch Consoleを確認

ブログやサイトをGoogle Serch Consoleに登録していると、マルウェアに感染したりウイルスの被害を受けると、通常はGoogle からメール通知で通知がきます。

今回はメールは確認できなかったので、Serch Consoleにログインして確認しましたが、被害の通知は確認できませんでした。

Google先生にバレない優秀なマルウェアなんですかね。汗

3.ウイルス検知プラグインで確認

ウイルス検知プラグインは色々あるみたいですが今回は「Wordfence Security」を使ってみることに。

プラグインの追加画面で「Wordfence」で検索するとすぐに見つかります。

Wordfence Security

インストールして有効化した後、スキャンしてみると、問題のある箇所がリストアップされます。

 

「Warning」のラベルのついている箇所をみてみると、どうやら「wp-incldes」「wp-admin」フォルダの中に「ele.html」というファイルが生成されているようでした。

ブラウザで開くのは怖いので、開かずに削除しました。

「DELETE FILE」ボタンをクリックすると問題のあるファイルは削除されます。

 

しかし、問題のあるファイルを削除しても海外サイトにリダイレクトされる症状は改善しません。

「Wordfence Security」では根本的な原因がわかりませんでした。汗

対処方法を自力で探してみる

自力で修正するのは難しいのかも・・・と考えていたら、はじめにブログのソースを確認したときに<head></head>内に怪しいスクリプトがあったことを思い出しました。

これを削除すればリダイレクトはなおるのではないか?という仮説のもと、WordPressテーマを直編集してみることに。

WordPressサイドメニューの「外観」→「テーマの編集」をクリック。

右メニューから「header.php」と書かれているファイル(テーマによっては名前が違うことも)を選択

怪しい数字の文字列が含まれるスクリプトが、<head>のすぐ後と、</head>の直前の2箇所にあったので削除して「ファイルを更新」ボタンをクリック。

これで海外サイトにリダイレクトされる症状は改善しました!

WordPressハッキング、マルウェア感染の対処方法

上記方法で改善しない場合は、以下の方法で対応できると思います。

PCにウイルスソフトをインストール(試用版でOK)

ウイルスソフトを入れていると、外部サイトへのリダイレクトされるような状態の時に、以下のようにポップアップで通知が表示されます。

↑はESETの試用版。

Windows標準搭載のウイルスソフトDefenderではこの機能がありません。

対処する間だけインストールして使うのであれば無料!

リダイレクトのスクリプトが残っていると、アクセスする度にポップアップが表示されるので正常な状態に戻ったかどうかわかります。

⇒ESET

ファイルマネージャー、FTPソフト等でサーバー上から怪しいファイルを削除する

WordPress日本語版ダウンロードページより、WordPressファイルをダウンロードして、ファイルやフォルダを比べながら怪しいファイルを探します。

怪しいフォルダを見つけたら即削除です。

「.htaccess」は書き換えられているパターンは多いので、必ず確認するようにしましょう。

「.htaccess」のファイルを上書きしたら、WordPressの個別記事&ページにブラウザでアクセスすると、404エラーになってアクセスできなくなります。

WordPress管理画面→設定→パーマリンク設定→「変更を保存」でその症状は改善できます。

正常な状態のバックアップからファイルを復元する

バックアップ機能のあるサーバーを利用しているなら、「Hacked By 3lectro From Team_CC」感染前の日付のバックアップファイルを復元するのが一番おすすめの対処法です。

このブログがあるサーバーは「mixhost」というサーバーで、毎日ファイルが自動でバックアップされ、さらに復元が無料だったのでとても助かりました。

ちなみに、ぼくが別サイトで愛用している「エックスサーバー」は、ファイル、メールの復元が10800円、データベースの復元(1つにつき)5400円かかります。。

今回被害にあったブログが「mixhost」だったのは不幸中の幸いだったのかも。

自動バックアップ機能のないサーバーを利用されている方でも、バックアッププラグイン等を利用しているならそちらから復元するのもいいと思います。

WordPressを再インストールする

WordPressのプログラムファイルが書き換えられている場合は、WordPressを再インストールすることでまっさらな状態に戻すことができます。

ダッシュボード→更新→「再インストール」をクリックすればOKです。

再インストールした後は、ブラウザの履歴からキャッシュされた画像とファイルを削除しましょう。

GoogleChromeの場合、「Ctrl+H」で履歴が開きます。

左側のタブにある「閲覧と履歴データを削除する」をクリックし、↓の画像のように一番下のチェックボックスだけにチェックを入れた状態で「データを消去」ボタンを押せばOKです。

削除しなかった場合、マルウェアは消えているはずなのにキャッシュに残ったファイルが読み込まれて、自分のブラウザではリダイレクトされる状態のままになってしまいます。

それだと正常になったのかどうか判断することができないので、必ず削除して確認するようにしましょう。

WordPressテーマを入れ直す

<head>内に仕込まれた怪しいスクリプトですが、インストールされているWordPressテーマ全てに書き込まれていました。

有効化していないテーマにも仕込まれているということです。

WordPressデフォルトのテーマにもあるのを確認しました。

一度使っているテーマを削除して、再度入れ直すことで、新しいファイルが反映されます。

記事、ページにスクリプトが仕込まれていないか確認→削除

上記作業を行った上で個別ページ&記事にアクセスしてリダイレクトされないかを確認します。

文末に以下のようなスプリクトが仕込まれている場合があるので、見つけた場合は取り除きます。

全ての記事編集ページをそれぞれ開いて手動で削除していくのは面倒なので、一括置換ができるプラグイン「Search Regex」を使うことをおすすめします。

メディアファイル(画像)にスプリクトが仕込まれていないか確認→削除

アップロードした画像ファイルの説明欄にスプリクトが仕込まれていることもあります。

この場合、手動で削除していきます。汗

長期間更新されていないプラグインを削除する

プラグインの虚弱性が原因でマルウェアに感染しているケースがありますので、長期間更新されていないプラグインは削除することをおすすめします。

プラグイン一覧の画面から「詳細を表示」をクリックすると最終更新日が確認できます。

↓はコンタクトフォーム7の詳細を開いた画面

最後に

上記の方法でなんとか解決することができましたが、私自身マルウェア関連の知識はほぼゼロに等しいので、この記事で紹介した対処法だけでは不十分な可能性もあります。

何かご存知の方は教えて頂けるとありがたいです! ⇒ 著者てぃるりんのTwitter