WordPressがハッキング・マルウェア に感染した時の症状・事例

WordPress

【WordPressハッキング事例】マルウェア感染した時の症状

WordPressは、オープンソースで自由に利用でき、世界的にもシェアが高い一方、攻撃を受けやすくハッキングされる例も多々あります。

実際にここ最近、身近にWordpressがハッキングされたサイトを見かけ、対処する機会がありました。

そこで今回、WordPressがハッキングされた時の症状や実例をいくつかご紹介します。
 


 

WordPressがハッキングされた時に受ける具体的な内容

ハッキングされた際に受ける被害内容例

WordPressがハッキングされた時に受ける具体的な被害内容をご紹介します。

ハッキングされた時にうける被害は具体的には以下のようなものがあります。

■ハッキングされた際に受ける被害内容

  • 自サイトを踏み台にされたメール送信
  • スパムサイトへのリダイレクト
  • ページの改ざん
  • 不正なページの作成

 

注意するべき点として、トップページが全て改ざんされるなど明らかなハッキングはわかりやすいのですが、サイト運営者がわからないように密かに不正な振る舞いを起こさせていた、というケースもあります。
 

たとえば、スパムサイトへのリダイレクトも、毎回必ず起きるというわけでもなく、何回(何十回)かに一度スパムサイトへのリダイレクトを行うといったケースがあります。
 

また、ハッキングされているサイトはSEOの評価も下がる危険があるので、放置しない方が良いでしょう。
 

自サイトを踏み台にされたメール送信

よくあるケースが、サイトを踏み台にした不特定多数への不正なメール送信です。
乗っ取ったサーバーを踏み台にした不正なメール送信
 

サーバーに不正なプラグインを仕込まれたり、お問い合わせフォームの脆弱性を利用して、自分のサイト経由で知らない人に大量にメール送信されてしまいます。

お客様の上記サーバーアカウントにおいて、
サーバー用メール送信ソフトウェア(Sendmail)を用いた
日本国外のメールアドレスに対する大量のメール送信処理を確認いたしました。

当サポートにてセキュリティ調査を行いましたところ、
お客様がご利用のプログラムにセキュリティ上致命的なバグ(脆弱性)が存在し、
当該脆弱性を第三者に悪用されてしまった可能性が非常に高い状況でございました。

※エックスサーバー社のサポートデスクより連絡があった不正検知連絡メール

お問い合わせフォームを経由したメール送信は、プログラムを書けば一瞬で何千件と実施できてしまいます。

「最近スパムメールが多いな」「意味不明なメールがきた」と思ったら不正な攻撃もしくは攻撃の下見かもしれません

脆弱性を探している攻撃の下見と思われるメール

下記のような攻撃のトライをしていると思われるメールが来ることもあります。

■攻撃をトライしていると思われるメールのサンプル
攻撃をトライしていると思われるメールのサンプル
 

本文のところをみると、SQLインジェクション(データベースの脆弱性を狙った攻撃)を試行していることがわかります。

ネットで「sample@email.tst」で検索すると、サーバー攻撃の下見などでこのメールアドレスが使われているようですので、知らない意味不明なメールが来始めたら要注意です。

Web入力フォームにおいて、メールアドレス「sample@email.tst」、住所「3137 Laguna Street」、電話番号「555-666-0606」が入力されているウェブサイトは、脆弱性発見ツール「Acunetix Web Vulnerability Scanner」を悪用して、攻撃の糸口を探されている可能性があります。
(参考記事)世界に静かに広がる「サイバー攻撃の下見」の痕跡より引用

 

お問い合わせフォームの自動返信機能を利用した不正利用

最近、お問い合わせフォームの自動返信機能を利用した不正利用が目立っています。

メールアドレス欄に他人のメールアドレスをランダムに入れて大量送信することで、自分のお問い合わせフォーム経由でいろいろな人に自動返信メールが届けられてしまいます。
お問い合わせフォームの自動返信機能を悪用した例
 

お問い合わせフォームに自動返信機能をつけている場合は、GoogleのreCAPTCHAサービスなどと連携することで対策できます。

(関連記事)【無料スパム対策】Contact Form 7でreCAPTCHAを設定する

これはプログラムの脆弱性というよりも、自動返信の仕様を悪用した不正利用です。最近特に多いようで、各レンタルサーバー会社から注意喚起のニュースが流れています。

 

【注意喚起】WordPressプラグイン「Contact Form 7」などのメールフォーム(問い合わせフォーム)の仕様を悪用したスパムメール配信行為への注意喚起、ならびに対策のお願い | エックスサーバー

お問合せフォームを悪用する攻撃増加に関する注意喚起 | さくらインターネット

【注意喚起】お問合せフォームのセキュリティ対策のお願い | ロリポップ
 

スパムサイトへのリダイレクト

メールの不正利用のほかにも、スパムサイトへのリダイレクトもよくあるハッキング事例です。
 

以下は、スパムサイトへのリダイレクトされた例です。

本来アクセスしたかったはずのサイトにアクセスすると、下記のような知らないサイトに移動させられてしまいます。
スパムサイトへのリダイレクト
 

このスパムサイトへのリダイレクトも、毎回必ず起きるというわけでもなく、何回(何十回)かに一度だけ、スパムサイトへのリダイレクトを行うといったわかりずらいケースがありますので注意しましょう。
 

不正ページの作成・ページの改ざん

以下は、不正ページが作成された例です。本来このようなページはないはずですが、知らない間にハッカーによってページを作成・改竄させられてしまいました。
不正なページが作られ、Googleにインデックスされてしまった
 

上記のようなページがGoogleにインデックスされると、SEOに大幅な悪影響を与える場合もあるので早い目に対処しておく必要があります。
 

過去何十万件という不正なファイルが設置されたり、何千の不正なページが自動生成されている事例を見かけました。

 

(例)レンタルサーバーから不正アクセス検知・アクセス制限されることも

WordPressがハッキングされた場合、レンタルサーバー会社のサポートから不正アクセスの検知やアクセス制限措置の連絡が来ることがあります。
 

下記はエックスサーバーで、ハッキングされたサイトに対してサポートデスクから通知された文言の例です。

【Xserver】■重要■お客様のサーバーアカウントにおける不正なアクセスの検知および制限の実施について

平素は当サービスをご利用いただき誠にありがとうございます。
Xserver カスタマーサポートでございます。

サーバーID :XXXX
ドメイン名 :XXXXX
お問合せ番号:XXXX

お客様の上記サーバーアカウントにおいて、
サーバー用メール送信ソフトウェア(Sendmail)を用いた
日本国外のメールアドレスに対する大量のメール送信処理を確認いたしました。

当サポートにてセキュリティ調査を行いましたところ、
お客様がご利用のプログラムにセキュリティ上致命的なバグ(脆弱性)が存在し、
当該脆弱性を第三者に悪用されてしまった可能性が非常に高い状況でございました。

そのため、事後のご案内となり大変恐縮でございますが、
緊急措置として下記制限を実施しております。

▼サポートにて実施した制限内容
-------------------------------------------------------
・XXXXドメインにおいて緊急的なWebアクセス制限を実施
※上記処理に伴い、Webアクセスを行うと403エラーとなる状況です。
-------------------------------------------------------

さらなるスパムメールの大量送信やフィッシングサイトの開設などの
『不正アクセス』による被害の拡大を防ぐため、上記対応を実施しましたことを
何卒ご了承くださいますようお願いいたします。

不正アクセスの対策と制限の解除手順につきましては、
下記をご参照くださいますようお願いいたします。

 

上記メールでは、下記のような対策を促されました。
========
【3】お客様に行っていただきたい対応内容について
[1] ご利用のPCにてセキュリティチェックを行ってください。
[2] 該当ドメイン名を「初期化」してください。
[3] FTPソフトによるデータアップロードなど、ホームページ再開のための作業を行ってください。
[4] 該当ドメインにて設置されていたプログラムにおいて、脆弱性の調査を必ず行ってください。
[5] 設置されているWordPress等の設置プログラムについて管理パスワード変更してください。
========
 

程度によりますが、不正ファイルが設置されたりファイル改ざんされている場合は、初期化・再設置をされることが多いかと思います。
 

次に、Wordpressがハッキング・マルウェア感染した際の具体的なサーバーの状態についてご紹介していきます。

 

【ハッキング事例】 icoファイル偽装

icoファイル偽装による不正ファイル設置・サイト改ざんの事例をご紹介します。
 

WordPressのインストールディレクトリをみたところ、通常時にはない不審なファイルが存在したり、既存サイトの改ざんが見受けられました。

■icoファイル偽装によるハッキング事例

  • wp-adminのとあるフォルダ内に隠しファイルの.icoファイルがある。中身を見るとphp文になっていて内容はエンコードされていて、一見では読むことはできない
  • 各フォルダ内にindex.phpが生成。冒頭に@include \057om017/cxd……/\087coといったおかしなファイルをインクルード(読み込んでいる)。調べるとunicodeでエンコードされているらしく中身が読みづらいが、かろうじてパスはわかる
  • wp-config.phpなども冒頭上記のインクルード文がある。
  • WordPressのフォルダ内に、983xarxg..php的な、ランダムな文字列のphpファイルが生成されている

 

実際に改竄されたページをお見せしながら解説します。

本例では、wp-admin/userディレクトリに、隠しのicoファイル(中身はPHPで、これがマルウェアの保内)が設置されていました。

wp-configをはじめ、index.phpなどのファイルがこのicoファイルをincludeで読み込んでいました。

他にも不正なファイルが設置されており、中を見ると暗号化されたコードやevalなどの危険な関数が利用されていました。

■不正なファイルが作成されている
WordPress ハッキング。不審なファイルが設置されている
 

■不正なファイルの中身。evalなどのPHPの危険な関数が利用されている
WordPressハッキングの不正ファイル
 

base64でエンコードされた文字列(一見意味不明な暗号のような記述)→base64でデコード(phpの記述が復活)→evalでphpの記述を実行、という流れのようでした。
 

■icoファイル偽装。WordPressのシステムフォルダ(この事例では、wp-admin/userディレクトリ)に隠しのicoファイルが格納されている。
WordPress のハッキング事例3
 

■icoファイルを確認すると、PHPファイルが記載されている
WordPress のハッキング事例4
 

■wp-config.phpファイル(およびそのほかindex.phpファイルなど)に上記のicoファイルを読み込むinclude文を記述・改ざんされている
WordPress のハッキング事例2
 

どこが侵入経路になっているのかは特定できませんでしたが、やっかいなことにこのケースでは、一つのドメイン(WordPress)だけでなく、複数のドメイン(要するにサーバー全体)で上記の不正なファイル設置や改ざんが見受けられました。
 

この例では、全てのドメイン内のディレクトリをいったん空にして、WordPressやプラグインを公式サイトよりダウンロードして、クリーンなファイルで再設置・復旧していきました(データベースと画像データのみ既存のものを利用)。

一つのレンタルサーバーに、更新していない放置状態のWordPressがあるとそこが侵入経路になる場合もあります。
 

(参考記事)ワードプレスでicoファイルに偽装したマルウェアに感染したら?
 

ですので、不正攻撃のいったリスクを軽減するために、複数のレンタルサーバーでサイトを分けるといったリスク軽減方法もあるかと思います。

 

【ハッキング事例】不正プラグイン設置

不正プラグイン設置によるハッキング事例もあります。
 
下記の事例では「ubh」という不正なプラグインが挿入されています。
不正なプラグイン UBH
 

この事例では、運用者のサイトに不正プラグインを設置したことにより、運用者の知らぬまま意図せぬ大量のメール送信がされた事例です。
 


 
(参考記事)WordPress注意!不正アクセスで変なプラグイン「UBH CSU」が入っていないかチェック
 

ハッキングを受けないためのセキュリティ対策

ハッキングを受けないためのセキュリティ対策について簡単に補足します。

残念ながら100%ハッキングを防ぐことはできません。

しかし最低限のことを実施していれば、ハッキングされる確率を減らすことはできます。

  • WordPressやプラグイン・テーマは最新バージョンにしておく
  • SiteGuardなどのセキュリティプラグインを導入する
  • パスワードは複雑なものにする(半角英数・大文字小文字・記号・数字などを混ぜて類推されにくい文字列にする)

 

特に、初心者の方でパスワードが簡単なもの(例.一般的な単語の組み合わせや、ユーザー名と同じなど)にする傾向が多いように思えます。
 
WindowsやMacなどのパソコンと違って、常に外部のインターネット上に晒されているので、簡単な単語などのパスワードは命取りになる場合があります。パスワードは複雑で類推されにくいものにするように意識しておきましょう。
 

なお、SiteGuardなどのプラグインを入れている場合、ログイン履歴を確認することができます。
「私は大丈夫」と思っていても、意外と不正ログイン試行の痕跡がありますので、ぜひ一度確認してみることをお勧めします。
WordPressログイン履歴
(関連記事)【セキュリティ対策】WordPress「SiteGuard WP Plugin」の使い方を徹底解説
 

また、WordPressを運用していると、しばしばプラグインやWordPress本体・テーマで致命的な脆弱性が発見されたというニュースを見ることがあります。
 

以下は、WP File Managerというプラグインに致命的な脆弱性が発見された事例です。

2020年9月1日頃より、WordPress 用プラグイン File Manager の脆弱性を悪用した攻撃に関する情報が公開されています。File Manager は、WordPress の管理画面上から、サーバ上のファイルのアップロードや削除などの操作を実行できるプラグインです。

WordPress
File Manager By mndpsingh287

File Manager

この脆弱性が悪用されると、認証されていない遠隔の第三者が、悪意のあるファイルをアップロードし実行することで、脆弱性を持つプラグインがインストールされている WordPress サイト上で任意のコードを実行する可能性があります。本記事の発行時点で、当該脆弱性の CVE 番号は確認できていません。
WordPress 用プラグイン File Manager の脆弱性についてより引用

 

不必要なプラグインは極力入れたまま放置しない・プラグインは最新バージョンにしておくなどが重要なセキュリティ対策の一つでもあります。
 

WordPressがハッキング・マルウェア感染した時の復旧方法

WordPressのハッキングが感染したときの対処法についてご紹介します。

※FTPが触れる、PHPや.htaccessの中身がある程度読める必要があります。下手に触ると復旧不可能な状態になってしまうかもしれないので、自信のない方は専門業者に依頼した方が良いでしょう。

程度によりますが、不正なファイルの設置やPHPファイルの改ざんなどがされてしまった場合は、サイトの大部分が乗っ取られていると思っておいた方が良いです。

不正ファイルやファイルの改ざんを見つけた時点で、他にもバックドアとして不正なファイルや仕組みを仕掛けられているケースがあります。

そのため(バックアップを取った上で)WordPressやFTP、データベースのパスワードなどの変更や、WordPressファイル類をサーバーからいったん削除してクリーンなファイルで復元するといった手順が必要になります。

なお、マルウェア感染の対処法として、下記の2記事が参考になりました。

以前不正ファイル設置・PHPファイル改ざんされてしまったサイトに対しては、上記2記事を参考に下記の手順で対処しました。

  1. いったんサーバー内のフォルダおよびデータベースをローカルにダウンロードしてバックアップ
  2. .htaccsssまたはサーバーの管理機能で海外からのアクセスをいったん遮断
  3. サイトのWordPress・プラグイン・テーマ・PHPのバージョンを最新にして動作することを確認
  4. サーバー・FTPのパスワードを変更する
  5. いったんドメイン内public_html内のフォルダ・ファイル類を全て削除
  6. 最新バージョンのWordPressファイル類を公式サイトからダウンロード後、手動でアップロード。
  7. wp-config.phpおよび.htaccessに不正な記述がないことを確認してバックアップファイルからアップロード。
  8. wp-contentが初期状態なので、有効化したいテーマをアップロード(既成テーマ利用の場合は新規状態をインストール・自作テーマの場合はphpファイルの中身に不正な記述がないか念のため確認する)
  9. 各プラグインを公式サイトから最新のバージョンのファイルをダウンロードしてwp-content>pluginsの中に手動アップロード
  10. バックアップを取ったwp-content>uploadsフォルダを精査後(.phpや.icoなど変な拡張子のファイルがないかをgrepコマンドやfindコマンドでチェック)アップロード
  11. WordPress・データベースをパスワード変更する&wp-configのデータベース接続パスワードも変更する
  12. その他WordPressの動作や表示に問題ないか確認と設定調整
  13. 問題ないことを確認してから.htaccessで海外アクセス拒否の設定を解除

 

上記の場合は、MySQLデータベースはそのまま既存のものを利用(パスワードは変更)しています。

事象によっては上記以外の手順が必要になることもあれば、一部不要である場合もあると思いますので、あくまで一例としてご参考ください。

 

まとめ WordPressがハッキング・マルウェア感染した時の事例・症状

まとめです。今回は、WordPressがハッキング・マルウェア感染した時の事例・症状についてご紹介しました。

WordPressは、世界一のシェアで有名ですがその分、攻撃を受けやすくハッキングされる例も多々あります。
 

オープンソースで自由に利用できるというメリットがある一方、セキュリティ対策は不具合対応も自分でやらないといけません。

ソフトウェアの更新や複雑なパスワードなど最低限のことは実施してサイトのハッキングが合わないように気をつけましょう。

今回は以上になります。最後までご覧いただきありがとうございました。
 

合わせて読みたい記事

WordPressの使い方の総まとめを「【2021年版WordPress(ワードプレス)の使い方総まとめ】」で紹介しています。WordPressを一から勉強したいと言う方はぜひご覧ください。

【2021年版WordPress(ワードプレス)の使い方総まとめ】

 

「業者に任せたけど、更新ができない」「本で独学は時間がかかりすぎる・・」そんなお悩みの方も多いのではないでしょうか。

個別指導形式のスクールでは、自分の知りたいことをピンポイントで学習・達成でき、自分で更新もできるというメリットもあります。
教室の無料事前相談もしておりますので、まずはお気軽にご登録ください。

詳細はこちら

YouTubeチャンネル開設しました!

WEBST8 YouTube Channel 開設
最大月間50万PVの当ブログをベースに、Youtube動画配信にてWordPress、ホームページ作成、ブログのことについてお役立ち情報を随時配信していきます。

ご興味ある方はぜひチャンネル登録をしていただけますと幸いです。


 

『自分で作る選択を』
自分でホームページ作成・Web集客したいホームページ作成スクール・教室

自分でホームページ作成・Web集客したいホームページ作成スクール・教室 WEBST8

おすすめ記事3選

【WordPressの始め方総まとめ】ワードプレスブログの作り方9STEP

WordPressの始め方総まとめ

WordPress(ワードプレス)でブログを始めようと思った時に、サーバー・ドメインの手続きなどわからないことだらけで困っているというお悩みをお持ちの方も多いのではないでしょうか。本記事では、WordPressでブログやアフィリエイトを始めたい初心者を対象にWordPressの始め方をご紹介していきます。

【WordPressホームページの作り方総まとめ 12STEPで解説】

WordPressホームページの作り方

WordPressでホームページを自作しようと思った際に、「ドメイン?サーバー?たくさん調べることがあって何から手をつけたら良いのかわからない」というかたも多いのではないでしょうか。この記事ではWordPress初心者の方を対象にWordPressでホームページを作る方法をご紹介していきます。

【2020年版WordPress(ワードプレス)の使い方総まとめ】

今回は、これからWordPress(ワードプレス)を使ってホームページまたはブログサイトを作りたい初心者の方向けに、WordPressの導入から使い方までまとめて説明していきます。 (※)WordPress5.0から実装された最新のブロックエディター(グーテンベルグエディター)にも対応しています。

-WordPress
-, , ,