Wordpress 改ざんされないために絶対やっておくこと

先週、公開したばかりのwordpressサイト改ざんされました。

テーマ内のfunctions.phpが改ざんされ、ページが白紙表示になりました。

念のため、全ファイルをウイルスチェックすると、バックドアファイルが3か所に設定されていました。

なぜ、こうも簡単に改ざんされたのか。インストールした本人に確認すると推測されやすい、IDとパスワードを一時的に設定したそうで、単純な油断が原因でした。

改ざんされないために絶対やっておくこと

1. IDをadminにしないこと
2. パスワードは、不便であっても複雑にする。
3. プラグインをやたらに使用しない。また、使わないプラグインはさくじょする。Jetpackだけでも十分！
4. バージョンアップが行われないテーマを使用しない。公式のテーマを利用する。
5. phpファイル　wp-config.phpのパーミッションは400で設定する。

wordpress以外では、FTPのパスワードを複雑にする、PCで最新のウィルスソフトをインストールする。などあります。


とりあえず、これだけ行っておけば改ざんされにくいと思います。

ロリポップのレンタルサーバー

ロリポップ

仕事がらロリポップのアカウントを100近く持っています。

以前ハッカー組織による大規模な改ざんがあり、管理しているホームページも３サイト改ざん被害にあいました。サーバー設定の甘さが指摘され、相当信用を失ったことでしょう。

しかしながら、以降、他のホスティング会社よりも改ざんによる対応は細心の注意を払っていると感じています。そのため、解約はせず、契約を続けています。

ロリポップの改ざん対応。便利な点

• １時間当たりにメールが500以上発信されると警告をだして停止する。
  これはサーバーの負荷軽減を意図したものですが、実際にはハッカーにより取り付けられたバックドアにより大量のスパム/ウィルスメールが送信される状況を知らせてくれます。ロリポップに問い合わせると、どのファイルが送信しているか教えてくれます。そのファイルがバックドアにより取り付けられた送信プログラムです。
•  ロリポップのプラン変更はサーバー移行やメールアドレス再設定なしで行える。
  ホスティング会社によってはMysqlが1つしか使えないことがあります。つまり、Mysql5.6の時代に4バージョンを使い続けなければなりません。WordpressなどのCMSを最新版にできなくなり、改ざんされやすいサイトを維持しなけえばなりません。
  ロリポップのスタンダードプランではMysqlが30まで使えるので、古いバージョンも最新のMysql/phpバージョンに移行できます。
• 毎月のように、CMSのバージョンアップ連絡をアドバイスしてくる。
  そのそろバージョンアップしておくか、そんな気にさせます。

ロリポップのおじさんキャラが法人向けに適さない印象を与えますが、内容で判断したいですね。


実際、バージョンだｐｈｐだ全く分からない方がほとんどだと思いますが、コントロールパネルはどのホスティングサービス業者よりもわかりやすく設計されています。

メール受信ができるが、送信メールが届かない(2)

前回の続きです。

ホスティングサーバーのメール機能によっては、SMTPサーバー名が設定したドメイン名と異なることがあります。

例えば、abc@def.comのメールアドレスを設定したとします。

ロリポップでは、

ＳＭＴＰサーバー名は、smtp.def.comではなく、smtp.lolipop.jpになります。

このように、@マーク以下のドメイン名とSMTPのドメイン名が異なる場合、送信メールがなりすましと判定されることがあります。　

セキュリティを強化している企業にメールを送ると届かない現象が起こります。

ロリポップの場合、ムームードメインのDNSサーバー設定でSPFを使用することで、この問題を回避できます。つまり、メール送信でlolipop.jpの使用を含むと定義します。


ちょっと専門的ですので、利用しているホスティング会社に問い合わせると良いでしょう。これに対応できないホスティング会社であれば、サーバー移管を検討したほうが良いかもしれません。


別件ですが、なりすましメール強化で、ホームページのお問い合わせフォームのメールが届かなくなるケースが増えています。特に、CGIフォームでSMTP送信ができない場合が多いようです。

Wordpressでホームページを作成してる場合は、プラグインがありますので、それを活用しましょう。

https://ja.wordpress.org/plugins/wp-mail-smtp/

メール受信ができるが、送信メールが届かない

今まで、メールの送受信が正常だったのに、急に送信メールが特定の人にだけ届かなくなったというトラブルを聞くようになりました。

メールのプロパティは変更していないのになぜ。

そのような時は、自分のメールアドレスがブラックリストに入っていないかチェックしましょう。

メールの@以下をチェックします。

http://mxtoolbox.com/

クリアできれば、OKです。

ハッキングされている可能性

「悪意のサイト」そして、
「このサイトは第三者によってハッキングされている可能性があります」

Googleは新たに、警告を発信するようになりました。

改ざんするハッカーは、あの手この手で仕掛けてきます。


第三者によってハッキングされている可能性とは、あくまでも可能性であって、必ずしもハッキングとは限りません。しかし、明らかにサイト内で使われるキーワードが異常である、サイトのタイトルとは書き離れたコンテンツ（ぺージ）が多数存在している、そしてそれが突然起こった、こんな場合は、ハッキングの可能性が高いでしょう。

サーチコンソールでサイト内のキーワードやインデックスされたページ数を定期的にチェックすることをお勧めします。

ハッキングが確認されたら

ヘッダーやフッターに書き込む改ざんとは違いますので、どのファイルは改ざんされているのか探し出すのに苦労します。

まず、パスワードはすべて変更します。.ftpaccessも有効にします。

Wordpressであれば、サーバーから全ファイルを削除して、きれいなバックアップファイルをアップするのが賢明です。

特にgiｆ、pngの画像ファイルに見せかける手口もありますので、画像ファイルもすべて削除して、修復させましょう。

Filesmanによる改ざんが多発？

2015年は、wordpressの改ざんが減ったと思っていました。

減った主な原因
wordpressのバージョンアップを行った
ID　adminを他のIDに変更した
wp-config.phpとフォルダーのパーミッションを変更した
FTPでIP制限をかける

おかげさまで、改ざんされて「悪意のあるサイト」として検索でブロックされることもゼロになりました。



しかし、この思いは全く違っていたことに気づきました。

昨年末より、合計で4サイト、サーバー会社から大量のメールが送られていると警告を受けました。改善しない場合は、サイトを閉鎖するとの内容です。

この正体が通称Filesmanによるものでした。

改ざん者の手口は、今まで、テーマ内のheader.phpやfooter.phpを改ざんして、悪意のあるサイトへリダイレクトする手法が主だと思っていました。ただ、このやり方だと検索エンジンがサイトをブロックしてしまうので、改ざんに成功しても無駄な行為になります。

インフルエンザのウイルスが人に感染しては、進化してゆくように、ホームページ改ざんも手口が変わってゆくのかもしれません。

Filesmanの改ざんは、複数のバックドアをわかりにくい箇所に設置します。たとえば、imgやimagesフォルダーのように画像ファイルしか置かない場所やプラグインフォルダーの最下層部等です。

バックドアは、コントロールパネルのようなもので、自由にファイルをアップロードできます。ホームページデータを削除することもできます。そして、WEBサーバーのメール送信機能を利用して、悪意のあるメールを大量にバラまきます。

他のケースもあるかと思いますが、私が経験した４サイトはすべて同様のものでした。

この改ざんの厄介なことは、検索エンジンでブロックされないこと、そしてサイトウィルスチェックもパスしてしまうことです。

つまり、改ざんされていることに気づいていないサイトのオーナーが無数にいるのではないかと思うわけです。

最近、国内外からなりすましメールが多く届くようになりました。もしかしたら、Filesmanによる改ざんで送られてきているのでは、と想像しています。まったく、根拠はありませんが。。。


サーバーにアップされているデータをダウンロードして、画像フォルダーなどに怪しいphp
ファイルがないか、チェックしてはどうでしょう。