Wordpressで作成したホームページの改ざんを防ぐ

改ざんされないためにやっておくこと 

1. Wordpressのバージョンアップ
   通常のブログとしてWordpressを使用しているのでしたら、ログインするたびに更新できるかチェックしましょう。当たり前のことを言うようですが、ホームページが改ざんされると、最終的にはサーバー上のファイルをすべて削除して、きれいなファイルをアップしなければなりません。仮にWordpressを構成するすべてのファイルに精通する人がいたとしても、一つ一つファイルをチェックしていたら、何か月もかかってしまいます。
2. 長い間（例、半年以上）更新されていないプラグインは使用しない
   Wordpressに慣れてくると、便利なプラグインをやたら使いたくなります。Exec-PHPなどは2年以上更新されていませんが、このようなプラウインや、Wordpress本体の最新バージョンに対応しないプラグインはどんなに便利であっても、使わないほうがよいでしょう。知人に聞くと、Wordpressのバージョンを更新しないのは、怠けているのではなく、更新したくてもこのようなプラグインをいくつか使っていて更新できないのが原因のようです。
3. ユーザーIDでadminは使わない
   総当たり攻撃 【 brute force attack 】 ブルートフォースアタックによる暗号の解読やパスワードの割り出しを困難にさせるために、IDはadminやドメイン名を使わないようにしましょう。
4. バックアップを必ず取る
   「バージョンアップしたらバックアップを取る」習慣をつけましょう。よくテーマだけバックアップを取る人がいますが、これでは改ざんされた場合、修復に時間がかかります。Mysqlもできればバックアップを取るようにしましょう。Mysqlは詳しくない方は、投稿と固定ページをエクスポートしましょう。
5. .ftpaccessでIP制限
   FTPサーバーのルートにIP制限用のファイルを設置します。改ざん者がすでにバックドアを取り付けた後で、ＩＰ制限を行っても無駄ですが、固定IPを持っている人はFTPサーバーを入手したら、IP制限を行っておきましょう。
6. パスワードは複雑に
   これも当然のことですが、覚えらるる簡単なパスワードを設定する人が多くいます。「まさか自分のホームページが改ざんされるとは」改ざんされてからしまったと反省します。
   Wordpressのログインパスワードだけでなく、FTPとサーバーコンパネのパスワードも合わせ複雑なものにしましょう。
7. Mysqlにログインしてデータをすべてエキスポートします。
8. 対応の良いホスティング会社のサーバーを使用する
   改ざんされても本来、修復はサーバーを契約した本人が対応するようになっています。ホスティング会社はほとんど対応しません。改ざんにより大量のメールがサーバーから送信されると、最悪アカウントを停止する場合があります。
   
   改ざんされたファイルを知らせてくれるホスティング会社ですが、参考までにロリポップとヘテムルをご紹介します
   
   ロリポップは、大量メールを送信する改ざんファイルのパーミッションを000に変更し、連絡してくれます。また、怪しいファイルの拡張子を.suspectedとに変更してくれます。
   
   ヘテムルは改ざんファイル名をテキストファイルにしてルートに保存してくれます。
   
   いずれも修復や今後の対策に役立ちます。

ロリポップ
初心者にもわかりやすいコントルールパネルで、無料のショッピングカートまでついています。
プラン変更の際でもサーバー以降やメールアドレス再設定の手間がありません。


ロリポップ

ヘテムル

マルチドメイン、マルチデータベース、共有 SSL など多彩な機能と 200.71ＧＢの大容量なサーバー環境が月額1,000円～！ ホームページつくるならレンタルサーバー 『ヘテムル』

なりすましメール

私の場合、メールアドレスを数十持っていて、1つのメールアドレス（A）をフリーの国内外のソフトや素材を得るための登録メールアドレスとして使い、銀行など重要な登録用には別のメールアドレス（B)を使っています。

そのため、（A)のメールアドレスには、なりすましメールが毎日、国内外から多数届きます。

送信者を「銀行名」にして送られてくるなりすましは要注意なのはほとんどの方がご存知でしょう。銀行名以外でも、最近では、Facebook、Amazon、ドメインの発行期間、友人を装う個人名、海外の政府機関等、無数に送信者名を偽造してなりすましメールが送られてきます。

特に、私も戸惑ったのが、「ドメインの発行期間」を装ったなりすましメールです。
「○○○.comの有効期限があと数日できれます。更新はこちらから。」といった内容のメールが英文で来るわけです。どうやらwhois情報で、メールアドレスを入手し、送ってくるようです。

なりすましをブロックするウイルスソフトをPCやスマホに入れていないと、大変危険な時代になりました。

先週、リゾート系のホームページがFilemanバックドアで改ざんされました。以前の投稿でこのFilfemanについて書きましたが、ホームページのメール機能を使って3000通のメールが送られました。

Filfemanの改ざんは2度目だったので、1日で食い止めることができましたが、いったい3000ものメールはどんな内容だったのか。もしかしたら、なりすましに使われているのでは？？？

契約しているホスティングが1時間当たりのメール送信数に制限をかけていて、気づきましたが、もし制限のないサーバーでしたら、なりすましメールの発信元になってしまうのではと危惧しています。

おそらく、知らずにそうなっていて気づいていないサイトオーナーの方が大勢いるのではないでしょうか。

Wordpressのプラグイン

Wordpressのプラグインは無数にあります。

便利なプラグインを見つけると、つい使ってみたくなります。しかし、ホームページが改ざんされたときのことを考え、プラグインの選択は慎重に行ったほうがよいでしょう。

特に、半年以上バージョンアップされていないようなプラグインはレッドカードです。

Googleの検索システムはホームページのソースに不正サイトにリダイレクトされるようなコードが埋め込まれていると「悪意のあるサイト」と認定し、ブロックします。これらの改ざんは、悪性腫瘍と似ています。他人のサイトを利用して、悪意のある行為を行うのですが、「せっかく」改ざんに成功したのに、すぐにブロックがかけられ、自らも滅ぼしてしまうからです。

しかし、最近の改ざんはGoogleの改ざんシステムやウイルスソフトを回避して行われます。つまり、改ざんされていてもサイトのオーナーですら、築かないことが多いようです。

Wordpressが最新バージョンであっても、プラグインが古いままで脆弱であれば、バックドアが作られてしまう可能性があります。

Filesmanによるバックドア

今年の6月、不動産系のWordpressサイトが通称Filesmanによる改ざんを受けました。

先日のwp-info.php同様、サイトのウィルスチェックをパスしてしまう改ざんです。ブラウザが改ざんサイトを「アクセス先のサイトで不正なソフトウェアを検出しました」や「悪意のサイト・・・」のように表示してブロックを掛けるようになりましたが、他のウィルスチェックツールと同じく、どうやらheader.phpやfooter.phpのようにページ表示に関係するファイルをチェックするだけで、Wordpressの全ファイルを見ていないようです。確かに改ざんサイトを見てもウィルスに感染しないのであれば、見る側には問題が無いわけです。

今回の改ざんは、サイト内から無数のスパム（ウイルス）メールが送信させるものでした。ルートにWPにはないcredits.php置かれ、そのソースの始まりは以下です。

 <?php
$auth_pass = "774bb8b3a285083cfa3adc070e14b57f";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
preg_replace

このファイルを置いたハッカーはFTPなどなくてもサイト内を自由に行動できます。よく見るといたるところに改ざんphpファイルが置かれていました。

通常、ハッカーはテーマフォルダーやheader.phpやfooter.phpを改ざんするのですが、これではすぐ気づかれてしまうためか、uploadsフォルダー、imagesフォルダー、プラグインフォルダーのように普段ほとんど見ない場所に改ざんファイルを置いてゆきます。

こうなると、手動で改ざんファイルを削除することは困難です。

サーバー内のデータをすべて削除して、きれいなファイルと置き換える必要があります。

wp-info.phpによるホームページ改ざん（3）

この改ざんは、最終的にサーバー上のファイルを削除し、Wordpress最新バージョンとプラグインををダウンロードして、置き換えることで駆除できました。FTPとWordpressのパスワードは10桁以上の複雑なものにしました。

1ヶ月経ちましたが、改ざんは起こっていません。まだ、Webmastertoolのインデックスは増えたままですが、その内消えると思います。

ふと思うのですが、ウイルスチェックが感知しないのですから、おそらく多くのサイトが知らないうちに感染しているのではとお思います。

wp-info.phpによるホームページ改ざん（2）

この改ざんは、.htaccessに以下の書き込みを行ないます。

# BEGIN SYSTEM API
RewriteEngine on
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^ny/(.*)$ ●●●●/wp-info.php?$1 [L]

# END SYSTEM API

削除しても数時間後にはまた書き込まれます。
●●●●のフォルダーは都度変更され、wp-info.phpが育成されます。

この種の改ざんは、ウィルスチェックをパスしてしまうので、Googleのウェブマスターツール（Search console)でチェックする方法をおすすめします。

ウェブマスターツールの コンテンツ キーワードで意図していないキーワードが無いかチェックします。ちなみに、今回の改ざんでは、cialis、viagraがキーワードの上位を独占していました。Googleのクローラーもこれらのキーワードを認識し、改ざんにより育成された大量のページがインデックスされていました。

wp-info.phpによる改ざんで参考にするサイトは殆ど出ていませんが、下記のサイト(英語)がとりあえず参考になりました。

http://wordpress.stackexchange.com/questions/167383/how-to-fight-this-wp-info-php-exploit

wp-info.phpを使った新しい改ざん

今年の3月末、Wordpressのサイトで新たな改ざんを発見しました。気付くのに2か月も掛かってしまいました。

どんなウィルスチェックも安全であると結果が出ていましたし、Googleのウェブマスタツールもパスしていました。

なぜ気づいたのかと言いますと、4月21日に発動したモバイルゲドンの影響をウェブマスタツールでチェックしていた際に、あるサイトのインデックスされたページ数が3月末に500から2500に増大していたからです。

 増えたページを開いてみると、長文の英語ページで、合計2000ページもありました。内容はいわゆる日本のインチキSEO屋が行う手法、様々なブログで書く稚拙な文章の中にキーワードを盛り込み、バックリンクとして飛ばす手法と同じようなページに見えました。

これらのページはWordpressの投稿ページや固定ページにはありませんでした、データベースにもなく、FTPサーバーにもありませんでした。

おそらく、RSSフィードのようなものを使っているのだと思いますが、クローらがそれらの英文を通常のページとして読み込んでいることが問題です。「悪意のあるサイト」として認証されないので、多くのサイトがこのような改ざんを受けているかもしれないと思っています。

 wp-info.phpがこれらの改ざんを引き起こすファイルであることまでは分かったのですが、このファイルの情報を検索しても、一部英語のサイトで出てきますが、正体を明らかにした情報はほとんどでてきません。

来週は画像ファイルも含め、新しいファイルにすべて置き換え、パスワード関連もすべて変更します。

Googleマップの改ざん

今月中旬からGooglマップの改ざんが起こっているとニュースで知りました。

あのGoogleも簡単に改ざんされてしまうのか？

改ざん例

皇居敷地内の建物「オウム真理教」
東京都の警視庁本部「恒心教警視庁サティアン」
広島市の原爆ドーム「核実験場」

その他、日本の名所等々

日本だけでなく、改ざんは世界の施設にも起こっているそうです。

GoogleマップはいまではGoogleビジネスの一部ですが、オーナーがいる場合は、オーナーがGoogle+でページを作成して情報を編集できます。
Googleビジネスは欧米では急速に伸び出ているようですが、日本ではまだそれほど認識されていないようです。

偶然でしょうか。改ざんされている施設は、管理するオーナーがいないようです。
Google+最下部に「ビジネスオーナーですか」 と表示されています。

Googleマップは個人的に最も利用するツールですので、早い解決を望みます。

WordpressプラグインJetPackの「プロテクト」機能

2013年に大規模の改ざんが起こったロリポップは、以降不正ログインがあった場合、.htaccesにブロックの記述を追加する対応を行っています。これにより不正ログインは起こらなくなったのですが、ブロックが頻繁に起こります。ブロックされるたびにＦＴＰからあるいは管理画面からブロックの記述を削除しなければなりません。面倒ですが、改ざんされることを考えればありがたい対応です。

一方で、不正ログインをブロックするプラグインSiteGuard WP Pluginが登場して、ブルートフォースアタックを防いでくれるようになりました。このプラグインを一部のサイトでしばらく使っていました。ＩＤをadminとした不正ログインが目視でわかるようになり、こんなに不正アクセスの試みが多いのかとぞっとしました。

SiteGuard WP Pluginは大変便利なのですが、ログインアドレスをサイトごとに変えていたので、私のように数百ものサイトを管理している場合、少々不便を感じていました。

1年前に、 JetPackを採用しました。そもそもこのプラグインは、不安定なKtai Entry (メール投稿プラグイン)の変わり、それにSNSとの共有投稿に大変便利でしたので、使うことにしました。

今年になり、ロリポップから不正アクセスを知らせるメールが来なくなりました。 JetPackに「プロテクト」機能が追加されていたのです。

ちなみに Akismet も JetPackが管理しています。

26件の悪意あるログイン試行をブロックしました
33件のスパムコメントを Akismet がブロックしました。

JetPackを当面使ってみようと思います。