思えば、海外出張前にエックスサーバーの管理画面からWordpressのセキュリティを甘くしたのが良くなかったのかもしれない。
それは突然発生した。8年間大切に運営してきた某Wordpressサイト。仕事が終わった後にアクセスしてみると、以下の画面が表示された。
「!?!?!?!」頭が真っ白になった。
いろいろ調べてみると、とんでもない事に気付いた。ルート直下のinxex.phpが消えている!
焦って、他のサイトから同じファイルをダウンロードして、またアップロード。が、時間が経つとまたファイルが消えている。
何度も試した結果、以下のパターンが分かった。
1)403エラーで表示できず
2)ルートディレクトリにindex.phpをアップロードする
3)再度アクセスすると画面が真っ白に
4)再度リロードするとまた403エラーに戻る
5)ルードディレクトリを確認するとindex.phpが消えている。-> 1に戻る
何度やってもうまくいかず、時間だけが無情に過ぎてゆく。
仕方ないので、藁をも掴む思いで、エックスサーバーのサポートに連絡をしてみた。
有り難いことに数時間後に返信が。何通かメールをやり取りして、技術者が調査をしてくれることになった。丸1日待って、ようやく返事が来たのだが、驚くべき内容が!
お待たせいたしました。
当サポートにてお調べいたしました結果、
不審なファイル、およびディレクトリが見つかりました。■ファイル
/xxxx.org/public_html/wp-content/plugins/google-analytics-analyze-installplugin.php■ディレクトリ
/xxxx.org/public_html/wp-content/plugins/google-analytics-analyze/※該当ディレクトリの[installation.php]へのアクセスがございました。
本件についてお心当たりがないという場合は
WordPress本体の脆弱性を突かれ、不正にファイルが
設置された可能性が高いかと存じます。著名なCMSプログラムは不正アクセスの対象となりやすいため
WordPress本体やそのテーマ、プラグインはこまめにアップグレードが
リリースされていないかどうかをご確認いただきながら
ご利用いただくことをお勧めいたします。一旦「wp-config.php」に記載されているMySQLデータベース関連の設定や、
「wp-content/uploads」内の画像データなどのみバックアップを行い、
他の構成データは一旦全て削除していただくことをお勧めいたします。記事データ等はMySQL側に保存されておりますので、
WordPress公式サイト(http://ja.wordpress.org/)から
最新のデータをダウンロードしていただき、テーマやプラグインを
ダッシュボードから再適用していただければ
再構築していただくことも可能かと存じます。※ テーマやプラグインも長らく更新されていないものや
ダッシュボード内から入手できないものは、脆弱性対策がされていないことが
往々にございますため、ご利用を控えていただくことをお勧めいたします。もしすべてのデータを削除されることを希望される場合は、
ドメインの初期化にてご対応いただくことが可能でございます。※該当ドメインに関するすべてのデータ(メール等を含む)が
削除されますので、必要なデータは事前にバックアップを取得してください。
=================================================================
■ドメインの初期化1.「サーバーパネル」内の「ドメイン設定」をクリック
2.「ドメイン一覧」より該当ドメインの「初期化」ボタンをクリック
3.「処理方法」から「ドメイン設定の初期化」を選択
4.「確認」ボタンをクリック
5.内容を確認し「確定」ボタンをクリックして手続きを進める
=================================================================お手数をかけいたしますが、何卒よろしくお願い申し上げます。
他にご不明な点がございましたら、お気軽にお問い合わせください。
まさかの不正アクセス。ハックされたWordpressの構成データは一旦全て削除すべしとのこと。
不幸中の幸いだったのは、サイト自体は見えないものの、Wordpressの管理画面はアクセスすることができ、数百件ある記事のバックアップデータをダウンロードすることができたこと。また、画像ファイルもFTPを使ってすべて落とすことができた。
結局、エックスサーバーの管理画面からWordpressをアインストールし、再度インストールした上で、バックアップファイルや画像をリストアすることに。幸い、数時間で完全復旧に至った。
確かなことはわかりませんが、海外出張前にエックスサーバーの管理画面からWordpressのセキュリティを甘くしたことが間接的な原因だったのではないかと思います。