マルウェア感染・ファイル改ざんされた時は「WordFence」で早急に対処しよう!

ABOUTこの記事をかいた人

兵庫県加古川市在住の3児の父親です。
・ブログのサポート(月額会員制スポット
・某コミュニティの技術サポート
オルゴナイトのネットショップ店長

アニメやマンガ好きで、子供の影響か?ギターの練習を再開しましたw

 

 

口座やカードの自動取り込みが優秀すぎて、隙間時間に仕訳ができておすすめです^^

 

フリーランスの支払いトラブルを未然に防止


ブログサポーター渾身のサービス!

ブログ運営者のためのサポート保険『Blog-Relief(ブログリリーフ)』

単発スポットサポート(30分 4,000円〜)はこちら!

どうも、ブログサポーターがみたか(@gamitaka02)です。

WordPressでちょっと困ったを解決している「スポットサポート」ですが、ここ最近立て続けにやってくる依頼がありました。

  • マルウェアの感染
  • ファイルの改ざん

この2つはだいたいセットで起こりうるトラブルなわけですが、この記事では

  • このマルウェアに感染するとどうなるのか?
  • マルウェアの対処法・予防法はあるのか?

ということについて書いていきたいと思います。

がみたか
放っておくと色々面倒なことになる可能性が高いので早期発見が大事!

 

マルウェアに感染するとどうなるか?

このマルウェアとは、簡単にいうと「不正なプログラム」のことで、いわゆるコンピュータウィルスのようなものです。

ハッカー(といってもおそらく自動プログラム)が、WordPressの本体やプラグインの脆弱性を突いてサーバー内に侵入されてしまうと、マルウェア、バックドア(セキュリティの抜け道)を設置→サーバー内のいたるところに増殖・ファイルの改ざんをされてしまいます。

マルウェア感染・ファイル改ざんされたサイトは、ランダムな名前のファイルが勝手に追加されたり、

 

改ざんされたファイルはこんな感じで怪しいコードがズラーっと並びます(›´ω`‹ )

がみたか
傾向としては、index.phpwp-config.phpに追記されることが多いです(^_^;)
偉大な冒険家
こんなの見たら吐き気がするわ…もう慣れたけどw

 

また、今までにマルウェアに感染したサイトでは、以下のような症状がありました。

  • スパムメールが大量に送信させられていた。
  • 海外のアダルトサイトにリダイレクトされる。
  • サーバーのアクセスが激増する(サーバー負荷が増加)。
  • アドワーズ広告が不承認になる。

 

偉大な冒険家
どれも非常に迷惑な話だぜ…

サーバーによっては、不審なアクセス増加・負荷を感知するとサーバーへのアクセスを遮断してくれるところもあります(Xサーバーの場合。さくらサーバーは有料で監視してくれるサービスがあります)

がみたか
遮断してくれるサーバーは、訪問者への二次災害を防いでくれるのでありがたいのですが、403エラー(サーバーへのアクセス遮断)にされると復旧が面倒ですw

 

マルウェア感染・ファイルの改ざんをされたときの復旧方法は2通りあります

マルウェア感染・ファイル改ざんをされてしまった場合は大きく分けて2通りの復旧方法があります。

  • FTPツールを使った復旧(中〜上級者向け)
  • プラグイン「WordFence」を使った復旧(中級者向け)

 

 

がみたか
FTPツール(Filezillaなど)を使った復旧はここでは割愛し、プラグイン「WordFence」を使った復旧方法について解説していきます。

 

また「WordFence」というのはセキュリティのプラグインで、怪しいファイルが無いか監視してくれたり、不正ログイン(ブルートフォースアタック)などから守ってくれたりしてくれます。

このプラグインにある「スキャン」の機能を使って、怪しいファイルを見つけて削除もしくは復元することもできるので、この機能を使ってマルウェア感染・ファイル改ざんされたサイトを復旧していきます。

 

WordFenceを使ってサイトを復旧する手順

なにはともあれ、プラグイン→新規追加から「WordFence」を検索し、インストール→有効化します。

 

スクショを撮り忘れましたが、インストール時にメールアドレスを登録する必要があり、スキャンの結果やアラートが出た時に、登録したメールアドレスに発信される仕組みになっています。

 

サーバー内をスキャンする

1.管理画面から、「WordFence」→「Scan」をクリック。

 

2.「START NEW SCAN」をクリックすると、サーバー内をスキャンしていきます。

この時に怪しいところが見つかると、該当する項目が黄色い警告マークになり、「Results Found」にそのトータルが表示されます。

偉大な冒険家
これだけ怪しいファイルや改ざんがあると思うと泣ける…(›´ω`‹ )
がみたか
Xサーバーだったらおそらく403エラーでログインできなくなっているだろうね…(これはさくらサーバーです)

 

WordFenceを使った、怪しいファイルの削除とファイルの復元

1.スキャンに引っかかった怪しいファイルや、改ざんされた疑いのあるファイルは「Results Found」のタブに、このように表示されます。

・怪しいファイル(改ざんされた疑いのあるファイルの場合もあり)

・改ざんされた疑いのあるファイル。

がみたか
ちゃんと場所(階層とファイル名)を教えてくれるので、サーバーのファイルマネージャーで確認しながら対処すると良いでしょう

 

怪しいファイルを削除する

1.項目をクリックすると、ファイルの種類や怪しいコードの記述、各種コマンドボタンが表示されます。

偉大な冒険家
Suspicious:PHP」は、マルウェアを隠蔽するためのコードで、ここにはありませんが「Malware」はそのまんまマルウェアということらしい。

 

2.もちろん怪しいファイルは削除するので「DELETE FILE」をクリック。

 

3.削除できるとこのような表示が出現します。

たまにこういったエラー表示が出るので、その時はスキャンし直してみてください(^_^;)

 

改ざんされたファイルを復元する

1.改ざんされた疑いのあるファイルは少しコマンドボタンの表示が違います。

VIEW DIFFERENCES」をクリックして、正常なファイルとの違いを確認することができます。

 

2.左が正常なファイルで、右が改ざんされた場所とそのコードになります(›´ω`‹ )

 

3.差異が確認できたら、右上にある「REPAIR」をクリック。

 

4.復元が成功するとこのような表示が出現します。

 

5.サーバーのファイルマネージャーを別タブで開いておき、そちらでも確認しておくと安心です。

・復元前

(画像はXサーバーの場合です)

・復元後

 

6.復元されたファイルで「VIEW DIFFERENCES」を再び開くとこのような表示になります。

がみたか
これらを該当するファイルの数だけこなしていきます(^_^;)
偉大な冒険家
スキャンで重複しているファイルもあるから実際にはもう少し少ない場合もあるぞ

 

全て処置した後はもう一度スキャンする

スキャンした時に、「File Changes」と「Malware Scan」がチェックマークになっていれば大丈夫かと思います^^

画像にある「Vulnerabillity Scan」はWordPressの本体やプラグイン、テーマの更新について監視しており、更新されていないものがあると黄色の警告マークになるので、セキュリティの観点からもできるだけ最新版に更新しておくと良いでしょう。

 

マルウェア感染・ファイル改ざんにあわない予防法

今回のようなトラブルにあわないようのする方法について、今すぐにできる2点を挙げますと…

  • WordPressをできるだけ最新の状態に更新する
  • 使っていないものは削除する
  • パスワードを変更する

これからもあわないための予防、やられてしまった後の対策として実践していただけたらと思います^^

 

WordPressをできるだけ最新の状態に更新する

マルウェア感染・ファイル改ざんは、WordPressやプラグイン、テーマの脆弱性を突いて侵入してくるパターンが大半です。

この脆弱性が見つかれば更新されるので、WordPressの本体やプラグイン、テーマは最新版に保つようにし、長いこと更新されていないプラグインは代替えできるものが無いか探してみるのも良いかと思います。

 

使っていないものは削除する

使っていないプラグインやWordPressテーマはサイトが重くなる原因にもなるので削除しておくことをおすすめします。

また使っていないと更新しなくなるので、セキュリティの観点からもあまりよくありません(^_^;)

 

ただし、WordPressテーマは今使っているテーマにトラブルが起きた時のためにひとつだけ(Twentyシリーズの最新版)残しておくと良いでしょう。

 

パスワードを変更する

一度でも入られてしまったサイトはパスワードを把握されている可能性が高いため、サーバーやWordPress、FTPのパスワードを変更しておくことをおすすめします。

その際、こちらのようなパスワード生成サイトで作ると、高いセキュリティのパスワードを作ることができます。

・「パスワード自動生成」
https://www.graviness.com/temp/pw_creator/

 

 

マルウェア感染・ファイル改ざんのまとめ

マルウェアの感染やファイルの改ざんは、完全には防げませんが、それなりに備えておくことはできます。

十分に予防することと、早期発見・早期復旧で安全なWebサイトの運営を心がけましょう^^

 

もし、マルウェアに感染・ファイルを改ざんにやられてしまい、「自分ではどうにもできない!」という方は、「スポットサポート」にて僕の方で対応させていただきますので、おかしいと思ったらすぐにご連絡ください!

 

それでは今回はこの辺で!

また次の記事でお会いしましょう^^

 

ブログ運営者のためのサポート保険!

ブログのトラブルや困ったことに時間を取られて

自分のやるべきことが出来ていない人のためサービスです!


『ちょっと困った』時のスポットサポート!

WordpressやWebに関する「ちょっと困った」を、

30分 3,000円〜で解決するサービスです!


Wordpressのお引越し!

安心・安全・快適で、ブログサポーターがおすすめする、

Xサーバーへのお引越しを代行します!


この記事が気に入ったら
いいね!をお願いします。

Twitter で

記事が気に入ったらシェアをお願いします^^