セキュリティ対策

WordPressがハッキングされた?と思ったらお読みください

昨今、WordPressを対象とするハッキングやのっとりの被害が増えています。弊社では多い時は一日数件の問い合わせを受ける事があることから決して他人事ではありません。本ブログではWordPressを運営される方を対象に、ハッキングの知識とハッキングされた時の対処方法や、日々気を付けることをお伝えしたいと思います。

見た目でわかるハッキング被害の例

WordPressのサイトが受ける攻撃の被害には、目に見える形では以下のようなものがあります。

  1. テーマファイルが改変されてデザインが変わってしまう
  2. スパムサイトやマルウェアサイトへのリンクが埋め込まれている
  3. 強制的に外部サイトに飛んでしまう(海外のページが主)
  4. エラー403エラー500が表示される
  5. 管理画面にログインができない

ほかに、サーバー管理会社からハッキングされたという連絡を受けたというのも多いです。

ハッキング被害にあう条件としては「何もしていないのに突然」「全く心当たりがない」ことです。つまり、誰も編集や作業をしていないのに、ある日突然にサイトが壊れているわけです。お客様からホームページがおかしいという事を言われるのがきっかけである場合も多いです。

WordPressの内部的な被害の例

見た目以外で、WordPressの内部はこのような状態になっています。

  1. 悪意あるスクリプトを埋め込まれた
  2. データが改竄/破壊された
  3. ユーザーログインデータなどが漏洩された
  4. 既存ファイルが不正ファイルに変わってしまった

“悪意あるスクリプト”と言ってもイメージが湧かないかもしれませんね。見慣れない暗号文が永遠に続くような文字列の場合が多いです。ワードプレスはPHPやHTMLなどの高級言語を使っていますが、その中に人間が人間で解読できないような文字列が含まれています。中には、jpegという画像形式のファイルでありながら、プログラムコードが仕組まれているケースもよくみかけます。

ハッカーは何が目的なのか 誰を狙うのか

ハッキングされた方は「うちのサイトなんか大した情報が無いのになぜ狙われたのか」と思われる方がほとんどです。

確かに、政府機関や大手企業を狙った情報収集のためのハッキングや、アノニマスのように政治的な意味でのハッキングはイメージが湧きやすいですが、中小企業のホームページを狙ったハッキングは無作為の場合が多いです。

彼らが何をしたいかというのは明確です。ハッカーの目的は「広告代行」です。依頼主からお金をいただいてサイトを無作為にのっとり、ページに誘導したり、広告を表示させたり、SEO対策を仕込んだりします。それはどのサイトでもいいです。国もサイトの大きさも関係ありません

ハッカーの手口

WordPressのハッキングの手口は無数にありますが、代表的な手口をお知らせします。

  1. ログインパスワード漏洩やクラッキング
  2. 脆弱性をついた攻撃
  3. DDOS攻撃
  4. クロスサイトスクリプティング (XSS)

ワードプレスがセキュリティ強化を行ったことによりXSS攻撃は減ったと思われます。最近の傾向としては、2の脆弱性をついた攻撃が多いのではないかと思います。ハッキングされたサイトのほとんどには脆弱性情報がでているものばかりです。セキュリティホールと呼ばれているものです。

WordPressがハッキング被害にあったかどうかを確認する方法

最初に伝えた見た目や機能の不具合症状が確認されたら、FTPクライアントやサーバーのファイルマネージャーを使って、不自然なファイルをPCにダウンロードしてみてください。テキストエディターなどを使い、ファイルのソースを確認すると「人間で解読できないような文字列」が含まれている場合があります。それが確認できたらハッキングは確定です。※PCが感染されるリスクがありますので、必ずセキュリティ対策を行っている安全なPCを使ってください。

ほかには、ハッキングの監視機能がついたプラグインや、サーバー管理機能にアラート機能がある場合はそれを利用します(有料の場合もあります)。

Google Search Consoleもサイトの健康状態のアラートを送ってくれるのでお勧めします。

WordPressがハッキング被害にあったらどうすればいいか

上記の確認方法でハッキングが確定した場合、可能であればデータベースやFTPファイルは念のため全てバックアップを取ってください

次に、不正ファイルを全て取り除きます。そのあと、ワードプレスを入れ替えて、ファイルスキャンを行います。

ここで大事なのは、できる限り不要なファイルを取り除くことです。ハッッカーは上手くスクリプトを忍ばせますのでしっかり取り除きます。サイトが復活したら、再発防止のための対策を行う事をお勧めします。

何が残すファイルで何が不要なファイルなのかの判断が難しいと思います。ワードプレスを熟知していないと難しいと思いますので、不安な場合は早めに専門家に相談する事をお勧めします。

大切なサイトがハッキングされないためにはどうすればいいか

ハッキングされないようにするためには「放置」をしないことです。WordPressは生き物だと思って世話をしてください。時々ログインして、ダッシュボードのサイトヘルスに表示されている注意や警告に対処してあげることが一番です。

それと、ハッキングの被害を方は「放置しているサイトがある」ケースが多いです。以前試作的に作ったサイトやお蔵入りになったサイト、ワードプレスに移行する前のムーバブルタイプのサイトなどです。「空き家」を放置しているのと同じで、泥棒や放火魔に狙われると思ってください。

最後に ~弊社でのハッキング対応~

弊社では、お客様のデータをできる限り残しながら再発防止策も行います。

ハッキングからの修復の場合、通常の作業内容は以下になります。
復旧まで平均1週間です。
3~4割くらいのお客様で再発しますので1か月間の保証を設けております。

1) 感染ファイル除去
2) ワードプレス本体のクリーンインストール
3) プログラム導入によるスキャンと、ファイアウォール設定
ここで一旦納品とさせていたき、ご請求になります。
4) 約1か月間、プログラムで監視を行います。
この間再度ハッキングされた場合は無償で修復いたします。
5) パスワードの変更など(お客様側)
6) 処置後にハッキング予防処置もお勧めしています(+22,000円)

最後までお読みいただきありがとうございました。

トラブル復旧に関するサービス案内はこちらです↓
https://next-action.co.jp/wordpress/repair/

ご不明な点などございましたらお問い合わせフォームよりお知らせください。

トラブル復旧サービス
ABOUT ME
数藤圭介
株式会社ネクストアクション代表取締役、WEBディレクター、ワードプレス運営アドバイザー、ビデオグラファー。趣味:小旅行、ギター、硬式テニス