WordPressがハッキングされた際の対処方法

WordPressが乗っ取られました(突然)

ある日自分のWebサイトを見ると、大変なことになっていました。
アクセスすると、不審なマルウェアサイトに転送されてしまうのです。

人体検証
「あなたはロボットでわない確認してために、許可のボタンをプレスして下さい!」

file

このメッセージが自分のサイトを訪問した人に出てしまい、
「許可」を押してしまうと、危ないサイトからの通知が許可されてしまうという寸法です。

自サイトの運営が止まるばかりか、加害者にさえなり得る事態です。対策しなければいけません。

アクセス先アドレスの調査

管理画面にもアクセスができなくなってしまっています。
転送先アドレスはマルウェアサイトですが、おそらくどこか中間サイトのアドレスを埋め込んでいるはず。
早速、Google Chromeのデベロッパーズツールで調査します。
(Preserve logにチェックを入れてください)
file

HTTPのリダイレクトコードは302です。
該当する転送先は、
https://best.****************.com/」でした。(画像から読み取ってください
このアドレスが、Wordpressのデータベースやファイルに埋め込まれています。

WordPressデータベースの解析

phpmyadminをインストールし、GUIでデータベースを操作できるようにします。
yumでなぜかうまくいかなかったので、ZIPで解凍してDocumentRootに置きました。
データ全件をCSVでダウンロードし、検索をかけると3か所の埋め込みを確認しました。
バックアップを取ったうえで、値をもとに戻します。

file

これで復活!

無事、サイトにアクセスできるようになりました。
対策等は別記事で。

コメント

タイトルとURLをコピーしました