【WordPress】運営していたWordPressサイトを改ざんされた顛末 | Wood-Roots:blog

運営しているWordPressサイトが改ざんされ、怪しいサイトにリダイレクトされるスクリプトを埋め込まれるという問題が発生しました。

Web制作の仕事をしている立場で大変お恥ずかしい話ですが、顛末を記しておきますので皆様もご注意ください。

気付いたきっかけ

「Google Web Tools Team」から「Chrome不正行為に関する問題のレポート」というメールが届く

以下のようなメールが届きました。
はじめはスパムメールかと思いましたが、運営サイトのドメインをちゃんと書いているので正しいものだったようです。

そういえば、以前から https://example.com/wp-admin でログイン画面にアクセスできなかった

リダイレクトを伴わない https://exapmle.com/wp-login.php ではログインできていたため、何かミスっているかと思いましたが気に留めていませんでした。この時点で気付くべきだった。

行われた改ざん

調べてみると、長期間手を入れていないサイトなのにサーバ内ファイルのタイムスタンプが更新されていました。
中身を見ているとファイルの改ざんと見覚えのないディレクトリやファイルが見つかりました。

PHPファイルの改ざん

末尾にdocument.writeで不審なJavascriptを実行させるコードが追記されていました。

デコードしてみると、イスラム関連のサイトへのリダイレクトのようでした。
（トラブルになってはいけませんのであまり詳しくは書きません）

以下のファイルが改ざんされていました。

wp-content/pluginsディレクトリにディレクトリとファイルの作成

見覚えのないディレクトリが作られていました。

内部はevalで何かを実行させるPHPファイルでした。

ディレクトリ名はランダムっぽいように見えます。

行った対応

該当スクリプトとプラグインの削除

改ざんファイルから不正なコードを削除しました。
また、プラグインディレクトリ内のディレクトリを削除しました。

WordPressの更新

WordPressのバージョンが古かったので（自動更新にまかせていた）最新版にアップデートしました。

SFTPパスワードの変更

サーバ内ファイルを書き換えられていましたので、SFTPによるアクセスも考えられます。
そのためパスワードを変更しました。

SFTPのログを取る

SFTPのログを取っていなかったため、不正なログインがなかったかどうかを調べることができませんでした。
手順は以下の記事を参考にしました。記事通りに進めていけば簡単に設定できました。

sftpの操作ログをsyslogに出力する

まとめ

これまでWordPressによるサイトを色々と運営してきましたが、外部からの改ざんを受けたのははじめてでした。

WordPressはシェアの高さゆえ悪意のあるハッカーのターゲットにされることが多く、脆弱性も頻繁に見つかっていてセキュリティ面では比較的高リスクだという認識はありましたが、自分が被害者になった経験がなかったのでちょっと油断していたかもしれません。

脆弱性は0にはできませんし外部からの攻撃もいつ自分が狙われるか分かりません。
よって対策としては

自分のサイトがいつもと違う動きをしたらすぐ調査をすること

が重要でかつ基本になるのかな、と思いました。

皆様もご注意ください。