社長のブログが改ざんされた。参ったな。ほっとくか…いやそれはまずいな…

~忙しい社長さんのブログ防衛術~ について書いてみたよ。

やられてしまいました。Wordpressの改ざん。
小さな会社の自称社長である私はいくつかのブログを運用しています。

今回、その中の1つであるホームページ制作部門用のブログが、何者かによって改ざんされてしまいました。

どんな改ざんかと言うと、そのブログにアクセスした人を別の怪しい広告ページに誘導すると言うものです。

ちまたでは Wonderlandads.com ウイルスと呼ばるやつです。

改ざんされたwordpressのindexファイル

それ自体は、お使いのパソコンに差し迫った危険を与えないようですが、そこで配布している怪しいプログラムをインストールすると面倒なことになります。

もし、誰かのブログを開いたときに怪しい広告ページに誘導されてしまったら、そのまま何もクリックせずに閉じること、そうすれば被害はありません。

そしてそれが知り合いのブログなら、ちょっと知らせてあげましょう。
「もしかしたらあなたのブログは改ざんされているかも知れません。調べてみて。」って。

 

■Wordpressの改ざんは、あなたにも起こるかも知れないのだ

もし、あなたもWordpressというシステムを使っていたら、今回私のブログに起こったことはあなたのブログにも起こる可能性が多大にあります。

私のブログが改竄(かいざん)されたのは、何も私を狙って攻撃してきたわけではありません。

私が借りているレンタルサーバーの特定のサーバーめがけて行われた結果、それを使っていた人のWordpress (ほぼすべてだと思いますが)が改ざんされたのです。

サーバーが狙われてしまったら、お手上げです。
そのサーバーの中にあなたのWordpressで作ったブログがあれば、同様の被害を被ったことでしょう。

これは、いつ起こるか分からないサイバー攻撃なのです。
社長であるあなたは、そのことも経営リスクの1つとして認識しておかなければなりません。

なので、今回、「Wordpressの改ざん事件」と称して詳細をまとめてみました。

特に社長ブログを運用している社長さんは、Wordpressを狙った改ざんについて知ってると慌てないですみますよ。

長いので、はしょって読んでくださいね。

 

■何を”改ざん”されたのか?

改ざんされたのは、Wordpressのシステムファイルです。これはプログラムコードです。
今回の改ざんの目的は、怪しい広告ページに誘導することなので、投稿された記事自体に改変はありません。
記事を改変されたら発見するのが大変ですよね。

記事の改ざんの場合は、読者には直接悪さしませんが、あなたには被害が及ぶかも知れませんね。

あなたが発信した内容を違ったことにしてしまうので、商品内容とか、心当たりの無い誹謗中傷を書かれてしまうとか、それはそれで信用にキズをつけそうで怖いですね。

数年前にこのタイプの改ざんを経験しました。

それは、3年くらい前。サテライトサイトが「イスラムの世界を知って欲しい」というページに書き換わる被害がありました。

このときは、ウィルス感染が目的ではなく、認知させることが目的だったので被害は少なくてすみました。

ホームページ改ざん例

さまざまな改ざんがあります。

・システムを改ざんしてハッキングに利用する
・記事を改ざんして不利益を与える

 

■なぜ、Wordpressのシステムファイルを改ざんするのか?

そりゃあ、悪さするためですわ。

WordPressのシステム(プログラムファイル)の中に、悪のスクリプト(プログラム)を埋め込んで、アクセスした人にある動作をさせる。
今回の場合、このファイルを開くとそのスクリプトが動作して、閲覧者を別のサイトに誘導(別のサイトをみせる)して、そこにあるウィルスの入ったページやスクリプトをクリックさせるのです。

今回はそのページを開いただけでは悪さはしません。

クリックしたりダウンロードしたりすると、パソコンがウィルスに感染するわけです。

最近多いのはバックドア型ウイルスです。

バックドア型ウイルスとは、感染するとコンピュータを外部から操作できるような侵入口を用意するようなウイルスプログラムで、トロイの木馬が代表例です。

あなたのパソコンを踏み台にして、他のサーバーなどに悪さをするのが目的です。

ちょっと前にそんな事件がありましたよね。
踏み台にされた人は潔白を証明するか、真犯人がつかまらなければ、ずっと容疑者扱い。
社長にとっては、踏み台にされるだけでも痛すぎる被害です。

このバックドア型ウイルスはユーザーに気づかれずにコンピュータを操作すのが目的なので、気づかない事が多いようです。

さすがに私もこれは経験はありません。てか、まだ気づいていないだけだったりして(笑)

もちろん、これだけがすべてではありません。
違った「悪さ」パターンもあるでしょう。
普段からそういうことがあるのだと言うことを頭にいれておきましょう。

 

■改ざんされていることは、かんたんにわかるのか?

あなたのWordpressブログの管理者なら、かんたんに気づきそうなもんですが、そう簡単ではありません。
管理者と言えども投稿とコメント管理をしているだけなら気づくことはほぼありません。
ましてやスマホからとか、メールで投稿をしている場合は尚更です。

改ざんされているかどうかは、普通に投稿しているだけではわかりません。
その動作を体験しないと変だなと感じません。

自分で投稿した記事を開いたときに、おかしな動作がなく通常通り投稿記事が表示されると問題なしと認識します。なので、改ざんされていることを管理画面上で知ることはできません。

敢えて言うならば、おかしなコメントが急に多くなったとか、明らかに多数のスパムコメントが来たなど、ちょっと「変」と感じるかも知れません。
それでさえ、兆しでしかありません。そんな兆しを感じたら改ざんを調査してみてください。

私の場合は、親切な読者さんがメールで教えてくれました。(^^;

親切な読者さん、ありがとう!

 

■改ざんの調査方法は

記事の改ざんの場合は、元記事と投稿の比較で発見するか、FTPでサーバー内の該当記事のHTMLファイルの更新日で認識します。

WordPressのシステムファイルの場合は、WordpressがインストールされているフォルダをFTPで開いて、保存されているファイルの中身が正常かどうかをみます。

あるファイルを見ればひと目でわかりますよ。
冒頭の画像が改ざんされたファイルです。

最初にWordpress/index.phpの中身を確認します。
このファイルがブログにアクセスしたときに、必ず動作するプログラムなので悪さをするならこのファイルを改ざんします。することが多いです。

なのでこのファイルを観てみれば、ある程度はわかります。
このファイルに意味不明な英文字がぎっしり詰まっていたら改ざんされています。
通常、このファイルの容量は1KB程度です。改ざんされていると28KB程度に増量しています。

まずはサイズに注目してください。

blog-T160315_4

1./index.php のファイル容量をチェック
2./index.php のファイルの中身をテキストエディタで開いてみる

・正常なindex.phpのファイルの容量は1KB程度
・改ざんされているindex.phpのファイルの容量は28KB程度
・改ざんされていると意味不明の文字列が大量にある

 

■改ざんされていましたか?

改ざんされていたら、復旧作業をします。
改ざんされていなかったら、予防のための措置をしておきましょう。
改ざんの調査は、今後も実施するようにしましょう。
1~2ヶ月後にシステムファイルをみると良いです。

 

■どうやって予防するのか?

攻撃はアカウントを乗っ取り、サーバー内にあるシステムファイルを書き換えます。
アカウントが乗っ取られなければ、とりあえず改ざんを防ぐことができます。
ただ、さらに高度な攻撃をしかけられた場合はこの限りではありません。

今回程度の改ざんでは、アカウントとパスワードを守れば防ぐことができます。

WordPressの管理者アカウントを admin にしている場合は、直ちに変更します。
忘れないけどわかりにくいアカウントに変えておきましょう。
不要なテーマファイルやプラグインも削除しておきます。
そして、Wordpressのバージョンが新しくなる度に、最新版に更新します。

1.管理者アカウント初期値のadmin は使用しない
2.システムを最新の状態にする

・WordPressを最新のバージョンに更新する
・不要なテーマファイルは削除する
・不要なプラグインも削除する
・定期的に代表的なファイルのファイルサイズやコードを目視する

 

■投稿は投稿者権限のアカウントで行う

WordPressのユーザー設定で管理者に設定されている人は投稿しないようにします。
これは管理者アカウントを外部に知られないためです。

admin アカウントを使わない理由は、アカウントのIDがわかればあとはパスワードに対して総攻撃を仕掛ければ良いだけになります。

文字の総当たりでパスワードは突破できてしまいます。
この一連のハッキングはプログラムで実行するので訳ない作業です。

WordPressで作られたサイトにアカウントをadminとし、パスワードを総当たりで調べればハッキングできてしまうのです。しかも簡単に。

プロフィールの設定でブログ上の表示名を変えればよいのでは?
と思うかも知れませんが、記事を投稿するとその記事ページにアカウント情報が記載されます。
ハッカーはそれをみて攻撃することができます。

社長のあなたが管理者で投稿もあなたが行うケースでは、管理者で使用しているアカウントの他にもう一つアカウントをつくり、そのアカウントの権限を投稿者にします。
普段はこの投稿者権限のアカウントで投稿するようにします。

・admin 管理者アカウントで投稿しない
・新たにアカウントを作り、投稿者に設定する

 

■社長と言えども復旧作業…。

改ざんされていたら、そのままブログを使い続けることはお奨めできません。
早急に復旧しなければなりません。

社長と言えども復旧作業をしなければなりません。
自分でできない場合は、誰かに依頼してでも復旧してください。

依頼する相手に心当たりが無い場合は、うちの会社でお受けしますが有料です。

ブログで集客しているなら、常に改ざんされていない状態にしておきましょう。
読者に被害がでたら大変ですからね。

 

■ブログ(Wordpress)は便利なツールですが…

このようなリスクも合わせ持っています。
ブログで情報を発信している社長さんも多いと思いますので、普段から十分に注意しておきましょう。

弊社では、非定期ではありますが、弊社がインストールした保守サービス会員さまのWordPressをすべてチェックして改ざんが行われていないか確認しています。改ざんがあった場合には、復旧しています。
今回の事件ですぐに会員さまのWordPressをチェックしたことは言うまでもありません。
このあたりも普通の制作業者とは違う部分です。

最後に改ざんされたファイルを復旧する方法を書いて置きます。

 

■改ざんされたファイルを復旧する
blog-T160315_2

blog-T160315_3

WordPressの改ざんが確認されたら、直ちに改ざんされた部分を訂正する必要があります。
改ざんされたファイルをバックアップファイルで上書きします。
システムファイルならば最新のバージョンで上書きするのも良しです。
だたし、独自に改造している場合は、その改造内容が失われるのでバックアップを元に上書きします。

改ざん部分を削除しても良いのですが、間違えるとシステムを壊してしまう可能性があるので、正しいファイルでの上書きをお奨めします。
常にバックアップをとっておきましょうね。

<今回改ざんされていたファイル>
/index.php
wp-admin/index.php

wp-content/index.php
wp-content/wp-config.php

wp-content/themes/xxxテーマ/index.php
wp-content/themes/xxxテーマ/header.php
wp-content/themes/xxxテーマ/functions.php

wp-content/backup-8eaa3/index.php

これらのファイルが改ざんされていたファイルです。

あくまでも私のケースです。

人により違うかも知れませんので、phpファイルの内容をすべて目視するのがよいでしょう。
これらを1つずつ、訂正する方法もありますが、これ以外の見つけられなかったファイルが改ざんされていることも考えられます。

WordPressのシステムファイルとテーマファイルは改ざんされていない最新のバージョンで上書きします。
Wordpressのシステムファイルをインストールしたときに存在しなかった後から追加したフォルダ内のデータはできれば最新で上書きし、できなければ目視で改ざんの有無を調べましょう。

改ざんを訂正する前にデータとシステムのすべてをバックアップしてから実施しましょう。
バックアップはデジタルの基本です。

 

■テーマファイルも調べる
上記のWordpressフォルダのルート下のファイルを調べたら次にテーマファイルのフォルダを調べます。
インストールされているすべてのテーマファイルのフォルダを開いて、index.php ファイルを同様にチェックします。
テーマファイルの中にはプログラムのコードがたくさんあります。その中の header.php ファイルや functions.php ファイルも今回、改竄されていました。

最新のシステムファイルで上書きしただけでは、完璧ではありません。
システムファイルにないフォルダもチェックしておきましょう。

■まとめ
私が実施した、改ざんがあったときのリカバリ手順を書いて置きます。

■WordPress改善リカバリ手順

<データのバックアップ>
1.投稿記事、固定ページのバックアップ(エクスポート)
2.データベースのバックアップ
3.FTPにてサーバー内すべてのバックアップ

<リカバリ>
・wp-config.phpを改ざん前のバックアップデータで上書き
・wp-config.phpのパーミッションを644に変更
・最新版のシステムでWordPress を上書き
・有効化しているテーマの上書き

<予防>
・不要なテーマの削除
・プラグインの更新
・index.phpの目視

・adminユーザーを変更
1.投稿者ユーザーの追加(新設)
2.新しい管理者を登録(adminにしない)
3.前のadminユーザーを削除して、過去投稿をすべて投稿者に変更

 

※この記事は、実際に起こった事を元に限られて時間で書いています。
技術的な部分について深く検証して書いているわけではありませんので、起こったことにフォーカスして、万一あなたの身に起こったときにお役立てください。