こんにちは、橋本絢子です。
WordPressが改ざん(ハッキング)された疑いがあるかはどのように調べたら良いのか?
Googleやお客さんに気づかれる前にハッキングを発見する方法と、ハッキングされないように設定しておくべきポイントをまとめました。
自分のサイトがハッキングされているかを知る方法
自分のサイトにアクセスした時、他のサイトに転送されたりポップアップ表示が出る
よくあるのが「Googleメンバーシップ・リワード」や「Googleユーザーのあなた、おめでとうございます!●件のGoogleギフトが当選しました!」のポップアップ画面が表示され、フィッシング詐欺サイトに誘導される場合。
画像引用:https://social-speaker.co.jp/it-security15
画像引用:https://blog.trendmicro.co.jp/archives/13731?cm_re=articles-_-threat-_-blog
悪意のある第三者によってサイトを改ざんされると、勝手に他のURLへ転送されることがあります。
ブラウザで検索エンジンから自分のサイトを検索してアクセスした時、URLが自分のドメインになっていなかったら、サイトが改ざんされています。
Google Chrome(または他のブラウザ)がハッキングを警告
訪問者が検索エンジンからあなたのサイトにアクセスした際、警告表示画面が出てきたら、あなたのサイトがマルウェアに感染している可能性が高いです。
「これは安全ではないことが報告されているWebサイトです」「偽のサイトにアクセスしようとしています」「アクセス先のサイトで不正なソフトウェアを検出しました」などの警告が出ます。
Google検索結果があなたのサイトにハッキングまたは有害なフラグを立てる
マルウェアに感染している場合、Googleの検索結果に「このサイトは第三者によってハッキングされている可能性があります」 「このサイトは第三者によって改ざんされている可能性があります」 「このサイトはコンピューターに損害を与える可能性があります」といった表示が出ることがあります。
Googleサーチコンソールから警告が来る
サイトが改ざんされてマルウェアに感染したことをGoogleが検出すると、Googleサーチコンソールからアラートのメールが届きます。
どんなハッキングがあるのか? ハッキングの仕組み
悪意のある第三者によって改ざんされたサイトは、サイト訪問者を別のサイトにリダイレクトすることを目的として、Webサイトのデータにコードを挿入したり、新たなデータを追加することがあります。
また、悪意のある第三者は、サイト訪問者を別のサイトにリダイレクトするだけではなく、サイト訪問者のパソコンにマルウェアを感染させる可能性もありますので、気をつけなければなりません。
サイト訪問者を守るために、悪意のあるリダイレクトコードやファイルを削除することが大切です。
実際には、以下のようなハッキングが見られます。
疑わしいコードが書き加えられたり、見覚えのないファイルが追加されている
この他にも様々なコードがあります。多くの場合、攻撃者はサイトのすべての投稿・ページにJavaScriptを挿入するスクリプトを実行します。改ざん例はこちら
ランダムな文字列やファイル名に注意。普段からWordpressのファイル構成と、PHPコードの中身を把握しておくことをおすすめします。
定期的にサーバ内のデータはローカル(パソコン)にダウンロードしてチェックするようにしましょう。
データベース情報が書き換えられている
ルートディレクトリにある「wp-config.php」にはデータベース情報が記載されています。サンプルはこちら
サーバでWordpressを自動インストールする際にも、データベース名とユーザー名、パスワードなどのデータベース情報は必ずチェックしてメモしておきましょう。
作った覚えのないデータベースやユーザーが新たに追加されていないかを定期的にチェックすることが必要です。
データベースの確認と修正方法は追記します。
.htaccessが書き換えられている
.htaccessに疑わしいコードが書き換えられていないかチェックしましょう。.htaccessファイルのチェック方法はこちら
ユーザーが追加されている
WordPressの管理画面にユーザーが勝手に追加されている場合もありますので、見つけたら削除し、パスワードを強力なものに変更しておきましょう。
「.htaccess」や「wp-config.php」などの重要なデータは、外部から必ず見えないようにしておき、なおかつ自分でその内容を把握しておくことが大切です。
クリーンなサーバに新しくWordpressをインストールし、改ざんされたデータと比べることで、違いが分かるようになります。
WordPressのファイル構成(どこにどんなファイルがあるのか)と、各ファイルの役割とコードの内容は、普段から把握しておきましょう。
Googleまたはあなたの顧客が気づく前に改ざんを検出する方法
サイトが改ざんされてマルウェア感染したことがGoogleに知られると、SEO評価にもダメージを与えてしまいます。そうなる前にサイトの改ざんに気づき、マルウェアを除去するための方法をご紹介します。
サイトトラフィックを監視する
Googleアナリティクスで日々アクセス数をチェックし、アクセスが急増した場合は、原因を調べます。特に日本語サイトなのに海外からアクセスが急に増えた場合は要注意です。
有料の監視サービスやツールを使用する
Webサイトの改ざんやマルウェア感染に対応するいくつかの監視サービスやツールがありますので、時間のない方はそのようなサービスを導入するのも1つの方法です。
プラグインを使用する
無料でWordpressの改ざんやマルウェア感染を検知してくれるソースコードスキャナーのプラグインもありますので、そちらをまず利用されてみることをおすすめします。Wordfenceがおすすめです。
ハッキングされないようにするためのサーバ側の必須設定
・PHP.ini設定の「allow_url_fopen」および「allow_url_include」をいずれも「無効(Off)」にする
・海外からWordpressの管理画面にアクセスできないようサーバ側で設定する。
・各データのパーミッション設定は安全なものになっているか確認する。(契約しているレンタルサーバーの指示に従ってください)
次の記事では、改ざんされたファイルの修復方法と、データベースを乗っ取られた時の対策、疑わしいファイルを見つけて削除する方法をお伝えします。
WordPressがハッキング(改ざん)されないように対策しておくべきこと
WordPressのハッキング対策におすすめのセキュリティプラグインWordfenceの使い方
WordPress改ざん データベースが乗っ取られた時の対策