ウェブサイトが改ざんされています
ウェブサイトにアクセスしたはずが、「2023年間ビジターアンケート ブラウザー意見アンケート」という怪しいページに飛ばされる。もう一度アクセスすると、通常のページが表示され、間違ったところクリックしたのか?なんてことありませんか?
下記のようなドメインのページに転送されるようです。他にもあると思います。下記のドメインにはアクセスしないでください。
- {数字}.detmoper.live
表示されたページはフィッシング詐欺のサイトです。アンケートに答えていって、メールアドレスなど入力してしまうと面倒なことになります。この表示は、アクセスしたウェブサイト側が改ざんされている可能性があります。
これが自分のウェブサイトで、冷や汗をかく事態になったので、備忘録として残しておきます。
復旧方法
ウェブを検索すると色々な復旧方法が出てくるので、様々なケースがあるようです。なお、復旧は自己責任でお願いします。
「/wp-content/plugins」の中にある「insert-heders-and-footers」
私のケースはこれでした。
FTP等で「/wp-content/plugins」を表示します。管理画面でプラグインのページを開き、管理画面に表示されているプラグインとフォルダを照らし合わせていきます。すると、1つFTPのフォルダにはあるが、管理面に対応するプラグインが表示されていないものがありました。
「insert-heders-and-footers」というフォルダがありますが、管理画面の一覧にはありません。検索すると、ちゃんとしたプラグインのようです。管理画面の設定に「Insert Heders and Footers」というメニューが表示されるらいしいですが、それも表示されません。怪しい。
FTPで「insert-heders-and-footers」を削除したのち、何度か試してみるとフィッシングサイトへの転送が止まったようです。
本当にこれで根絶できたのか、わかりませんが、一旦様子を見ることにしました。
「/wp-content/plugins」の中にある「plugin」
「/wp-content/plugins」の中にある「plugin」というフォルダを削除して解決したケースもあるようです。
https://makurazaki.org/web/wordpress/post-1614/
「/wp-content/plugins」の中にある「vidbolt」
「/wp-content/plugins」の中にある「vidbolt」というフォルダを削除して解決したケースです。「plugins」フォルダ内が結構怪しいですね。
https://gm-moja.com/wp-phishing-site/
すべて削除してバックアップから戻す
時間はかかりますが、この方法が一番いいですね。
https://apiros.jp/web_blog/wordpress_virus_taisaku/
「wp-config.php」「.htaccess(存在する場合)」「wp-contentフォルダ」以外を初期化する
WordPressのリリースページから同じバージョンのWordPressをダウロードし、「wp-config.php」「.htaccess(存在する場合)」「wp-contentフォルダ」以外を上書きするというものです。
リンク先のページではこれで復旧した、という報告ではなく、1つの可能性として提案しているようです。
https://osayama.com/news/21175
原因と予防策
WordPressのバージョンアップ
WordPressのバージョンが低いため、脆弱性を突かれた可能性。
WordPressのバージョンが最新のものでない場合、バージョンアップを行う。バージョンアップ前にはファイル、データベースのバックアップの取得する。
不要なユーザーの削除/既存ユーザーのパスワード変更
WordPressの管理画面にログインされたことで、改ざんされた可能性。
不要なユーザーの削除を行い、既存ユーザーのパスワードも変更。パスワードは、大文字、小文字、数字、記号を含むものにする。
使用していないプラグインを削除する
有効化していないプラグインでも、脆弱性を突かれた可能性。
使用していないプラグインは削除する。
プラグインをバージョンアップする
有効化しているプラグインの脆弱性を突かれた可能性。
バージョンアップしていないプラグインがある場合は削除する。長い期間バージョンアップされていないプラグインは利用を停止する。
使用していないテーマを削除する
使用していないテーマ内に残された脆弱性を突かれた可能性。
使用していないテーマは削除する。使用中のテーマに脆弱性があるかどうかの確認は、WordPressのサイトヘルスなどでチェックする。
SiteGuard WP Pluginをインストール
総当たり攻撃などで管理画面にログインされた可能性。
SiteGuard WP Pluginをインストールして、下記の昨日を有効化する。その他はお好みで。
- ログインページ変更(できれば)
- 画像認証
- ログインロック
- ユーザー名漏えい防御
ログインページ変更を行った場合、ログインページを忘れないように。万一忘れた場合は、データベースで確認できる。
FTPの不要ユーザー削除/パスワード変更
FTPにアクセスされてウェブサイトが改ざんされた可能性。
FTPアカウントのうち、使っていないアカウントがあれば削除する。また、使用中のアカウントはパスワードを変更する。
WordPressのサイトヘルスステータスに対応する
管理画面にログインしたトップページにあるサイトヘルスステータス(https://{あなたのウェブサイトのURL}/wp-admin/site-health.php)に「致命的な問題」があった場合、確認して対応する。使用しているテーマの脆弱性も表示されるようです。
最近のコメント