2013/08/28にレンタルサーバを利用しているWordPressサイトを中心に、大規模なクラッキングが発生しました。
WordPressの公式フォーラムにも多くの報告が上がり、被害は非常に多いと考えられます。
→ フォーラムの該当トピック(トピック中のURLは改ざんされたサイトの恐れがあります、安易にアクセスしないようにしてください)
症状
フォーラムにもあるように症状は
- 画面が真っ白になる
- タイトルバーが「Hacked by Krad Xi」に変更される
- 管理画面が文字化けする
- 新規ユーザが追加されている
- .htaccessが改ざんされている
などが報告されているようです。
ロリポップからも公式発表がありました。一読しておくことをおすすめします。
当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について
対処法
下のリンクは多くのサイトが改ざんされたロリポップからの対処法です。
【重要】WordPressをご利用のお客様へ
これを踏まえて対処法をまとめました。
1.IDとパスワードを特定されにくいものに変更する
IDとパスワードを「admin」や「administrator」、ドメインに似ているものにしている人はいませんか?そういう人はすぐに変更しましょう。
できるだけ、辞書に載っていない文字列を利用するのが好ましいです。特にパスワードは意味のある単語にしないようにしましょう。
また、サイトのAuthorの表示も変更しておくことをおすすめします。テーマによってはAuthorが表示されるものがあり、デフォルトだとユーザIDが表示されてしまいます。
変更するには、管理画面の左バーの「ユーザー」→「あなたのプロフィール」→「名前」→「ニックネーム」ここに表示したい名前を入力し、「ブログ上の表示名」を今入力したものに変更し「プロフィールを更新」すればOKです。
2.wp-login.phpにアクセス制限をかける
WordPressのフォルダの中にある.htaccessに下のような記述を追加します。
<Files wp-login.php>
Order deny,allow
Deny from all
Allow from 111.222.33.44 <- ここは自分のアクセスしているIP
Allow from 111.222.33.45 <- 必要ならばアクセスする可能性のある場所のIPも追加しておく
</Files>
これで、ログイン画面にアクセスできるのが記述したIPからのみになりました。
3.wp-config.phpと.htaccessのパーミッションを変更する
この2つのファイルを変更されたら意味が無いので、ファイルの変更権限を厳しくします。
.htaccessのパーミッションは「404」
wp-config.phpのパーミッションは「400」
がいいかと思います。
ロリポップならロリポップの管理画面のロリポップ!FTPで該当ファイルをクリック。現在の属性を上の数字に変更して保存すればOKです。
4.改ざんされたWordPressをもとに戻す
ここまで対応したら、WordPressをもとに戻す作業をします。
- 管理画面のエンコードをUTF-8に戻す(UTF-7になっているとの報告が)
- ウィジェットを削除(スクリプトが埋め込まれている可能性がある)
- 新規ユーザーを削除(管理者以外を一旦削除すべき)
- プラグインの全停止(できれば全削除して再インストール)
- 「Exploit Scanner」プラグインを使用しコアファイルのスキャンを行う(※1)
- テーマをデフォルトに戻す(できれば使っていたテーマを削除し再インストール)
- タイトルの修正
- 管理者ユーザの変更(※2)
※1 Exploit Scannerの日本語版対応については下記リンクを参考にしてください。
コアファイルの改ざんが見つかった場合、該当のWordPressの利用は諦め、削除の後再インストールをおすすめします。
※2 管理者ユーザの変更については下記リンクを参考にしてください。
WordPress のユーザー名 admin を変更してみる
まとめ
とりあえず、まとめたように対処すればいいかと思います。
今回たまたま被害に合わなかったサイトも同様の対応をしておくことをおすすめします。今回はロリポップにあるサイトが集中的に狙われたようですが、他のレンタルサーバでもWordPressを利用している以上同じことが起こりえます。
被害に合ってないからいいやと思うのではなく、これを機にセキュリティに関しても対策をとっておきましょう。
