株式会社アルファクトリー

最新のIT情報を発信する 大阪のIT会社で働く社長のブログ CEO BLOG

WordPressサイトでwp-config.phpが書き換えられる不具合について

最近「Wordpressで運営しているサイトに訪れると全然関係ないページにリダイレクトされるようになった」という報告を受けました。

色々調べていくとどうやらサイト内のwp-config.phpファイルを書き換えられていた様子です。書き換えられたファイルをバックアップしていたデータと差し替えてサーバにアップロードすることで事態は収まりました。WordPressサイトでの改ざんが増えている昨今ですが、身近に起きてしまったので、もはや人ごとではなくなりました。

詳しく書いているサイトがありますので下記参考下さい。

ある日、突然リダイレクト

泣きそうな声の依頼主の言うように、運営Wordpressサイトを確認すると、すべてのページが
ttp://monkeyball.osa.pl/?said=3333&q
というサイトにリダイレクトがかかり、自動的に飛ぶようになっていました。
(このサイトに入らないでくださいね。「危険です」というアラートがGoogleでもFacebookでも鳴りましたので。マルウェアサイトだと思います)

飛び先のは作りかけのような雰囲気のある、あきらかに怪しいサイト。
どうやらスパマーの仕業のようです。
しかも海外製ですね。

問題解決するために以下の行動をとりました。

原因を調べるためにやったこと

すべてのプラグインを停止、テーマを変更

プラグイン及びテーマに原因があるのではと思い、これらを調べるために全てのプラグインを停止・テーマを変更しました。

…しかし依然として効果なし。リダイレクトされたままです。
原因はテーマファイルやプラグインにないとすれば、その他のWordpressを構成しているファイルだろうとあたりをつけます。

スパム事例を調査(というかGoogleで検索)

調べてみると、Wordpressに関する色々なスパム事例があることに驚かされました。

.htaccessに埋め込まれるタイプや、WPサイトビズさんではテーマに埋め込まれていたようですが、我々の問題とは重なりませんでした。

海外のブログ記事から原因を発見

そして色々と探してようやく我々の症状と同じ状態になった人のブログを発見

直訳すると「私は今日ハッキングされました」という邦題をつけるでしょうか。
英語サイトでしたが、Google翻訳を使いながら解読。
wp-config.phpが書き換えられるという事例でした。

我々もサーバを調べてみるとWPフォルダ内wp-config.phpに、全く同じコードが不正に挿入されていました。

問題は解決しましたが…

ローカルに保存していた汚染されていないwp-config,phpをアップロードすると、嘘のように解決しました。
これで当面の問題は解決しましたが、次いつまたどんな方法で攻撃されるかわかりません。

事件後…セキュリティ対策のためにやったこと

wp-config.php書き込み権限の削除

パーミッションの設定を「外部から書き換えできない」設定にします。

様々な方法でのデータ・バックアップ

3,4通りの方法でデータをバックアップしておきます。

バージョンを最新のものにする

WordPressのバージョンを常に最新の状態にしておきます。
素人さんにはなかなか気がかりな作業ではありますが、やっておいたほうがいいですね。

同時にプラグインも常に最新の状態にしておきます。

データベース名を変更

WordPressをインストールする際に命名したデータベース名、デフォルトのままだとWordpressに精通したクラッカーに推測されてしまいます。
可能であればデータベース名の変更も行います。

セキュリティ系プラグインの導入

セキュリティ系プラグインを導入します。

以上で今回の対策は終わりました。
WordPressを運営されている皆さんも、スパムにはくれぐれもお気をつけて

参考記事:http://www.so-network.biz/wordpress/spam/

1度、狙われると何回も書き換えられるといった事例もあります。

バックアップは必然ですね。


PAGETOP