弊社でもWordPressを使ったサイト制作のご依頼をいただくことが多いのですが、とても便利で高性能な反面、脆弱性を突かれた第三者によるサイト改ざんが大きな問題となっています。最近ですが実際にサイト改ざんの相談があったので詳細と対策をまとめてみました。
WordPressサイトが第三者により改ざん
先日、とあるサイト運用担当の方からWordPressサイトの一部が表示されないとご連絡があり確認してみると、カスタム投稿のアーカイブページが真っ白になっており、404という文字が表示されていました。
一瞬、??となったのですが、ご相談者さま曰く、「パーマリンクの設定」を弄ってしまったとのことでログイン情報をいただき、管理画面へ。
パーマリンクの設定を戻して、リライトルールなどもいろいろ調べて再度確認。
しかし、元に戻らず振り出しに、、この時点ではまさかサイトが改ざんされているとは思いませんでした。
いろいろ原因を探しながら、ふとサーバーに入ってテーマフォルダ内のファイルを見ると、
…!!、ファイル内が書き換えられているではありませんか!
どうやら真っ白な画面に404と書かれた文字が表示されていたのはこれが原因だったようです。すぐに修正し無事にアーカイブページは表示されるようになったのですが、そのテーマフォルダの中に見慣れないファイルが、、
中のソースコードを見ると、変数に格納された謎の文字の羅列(気味悪い、、)
そして、base64_decodeの文字が。。
Googleで調べると他にもいろんな情報がヒットし、どうやら外部のスクリプトを実行させようとしているらしいです。恐ろしい、、
他にも謎のユーザーが管理者権限で作成されていたりとかなり不気味でした。
WordPress改ざん後の対応と防止策
今回のケースでは、
・サイトのテンプレートファイルが書き換えられていた
・不正なスクリプトが埋め込まれているファイルが作成されていた
・管理者権限の不明なユーザーが作成されていた
という被害内容でした。
そこでまずは、不正なスクリプトファイルを丸ごと削除し、管理者権限で作成されていたユーザーを削除し、とりあえずサイトを現状復帰させました。
そして、防止策として以下の項目を行いました。
・未使用ユーザーアカウントを削除
・使用ユーザーアカウントのログインIDをメールアドレスに変更
・使用ユーザーアカウントのパスワードを複雑なものに変更
・WordPress本体とプラグインをアップデート
・セキュリティ対策のプラグインをインストール
特に最後のセキュリティ対策のプラグインはかなり有効だと思います。
今回採用したのは国産のプラグインで安心できる「SiteGuard WP Plugin」です。
ログイン画面のURL変更や、ログイン時の画像認証、ログイン毎のメールアラートなど機能が充実しているのでオススメです!
WordPress改ざんの原因は?
今回サイト改ざんの原因に至ったのは主に下記の要因が考えられます。
まずは「ログインアカウントのIDとパスワードが推測されやすいものだった」と
「WordPress本体とプラグインの更新が放置されていた」が大きかったように思いました。
どうしても疎かになりがちですが、今回のケースで改めて改ざんに対する対策は必要なんだなと感じました。ウェブ制作者として気を引き締めていきたいと思います!
(参考)
WordPressブログにRFI攻撃!?PHPファイルへの eval(base64_decode()) 埋め込みによる改ざんと対処方法