ワードプレス関連

はしこ旦那のワードプレスのサイトがマルウェアに侵された体験談まとめ

はしこ
はしこ
こんにちは、はしこです!

メルマガの方では連日お話しさせて頂いていたのですが、少し前にはしこ旦那の運営するサイトがマルウェアに侵されていました。

今回はその件についてはしこがした対処法や今後起きないようにした対策、そしてセキュリティ関連のお仕事をしているメルマガ読者さんから提供して頂いた情報をまとめました。

何もセキュリティ対策していないという方は本当に後で泣きを見ますので、ぜひ対策をお願いします!!!

はしこ旦那のサイトがマルウェアに侵されてしまっていた原因

まずはしこ旦那は、はしこ以上にワードプレスの知識が全くありません。(はしこもたいがいですが。笑)

サーバーにワードプレスを設置したのも、ドメインを取得したのも私なので、そもそもワードプレスの設置すらできないという程の知識だと思って頂ければ…。

サイトの運用はお任せしていたので、ログインパスワードは初期に私が設定した物ではなく、自分が覚えやすいパスワードに変更していたそうです。(数字のみのパスワードだったとの事…。知らないって、まじで怖い。。)

特にセキュリティ関係のプラグインも入れず、php、ワードプレス、プラグイン、テーマ等の更新も私が初期に入れてあげたまま何もしていませんでした。

おまけにもちろんバックアップも取っていなかった!(6記事しか入ってなかったし、まだ良いかと思っておりました…。)

はしこ
はしこ
これまじで、侵入して下さーい♪って言ってるようなもんで、今セキュリティについてお勉強したはしこからしたら超こわい。。同じような人、居ないよね…?

はしこ旦那のサイトがマルウェアに侵されているのが分かった日

なんでサイトがマルウェアに侵されているのかが分かったのかというと、旦那がふとサイトを開いたら『404エラー』になっていたからでした。

はし旦『何かサイトが表示されないんだけど、なんでかな?』

と聞かれ、404エラーってアクセスが集中してサーバーが落ちたりとか、リンク先のページが削除されてる時になるやつだよね…?

え、6記事のサイトでそれってありえないし、私もサイトログインすらしてないから消すこともないはず…?

と、ハテナマークがいっぱい。

私もそこまでサーバーの知識があるわけじゃないので、サーバーとドメイン会社両方に問い合わせてみました。

返答はこちら。

・サーバー(Mixhost)

サイトが表示されなくなって『404エラー』って出ちゃうんですが…と問い合わせたよ。

お問い合わせの件につきまして、弊社にて確認させていただき
ましたところ、「※ドメイン名」のドキュメントルートである
「public_html/※ドメイン名」にWordPressのデータが存在
しないため、サイトが表示されない状況と思われます。

お手数ではございますが、お客様におきましても、cPanel
「ファイルマネージャー」等により、データが削除されていることを
ご確認いただき、サイトの正常表示を確認されていた時点の
バックアップからの復元等のご対応を実施いただきますよう
お願いいたします。

【自動バックアップからファイル/データベースの復元】
https://help.mixhost.jp/hc/ja/articles/115003742112

・ドメイン会社(バリュードメイン)

ドメインの有効期限が近くなって更新したんだけど、ちゃんと更新されてますか?って問い合わせたの。

ドメイン「※ドメイン名」を確認いたしましたところ、更新手続きは正常に
行われている状況でございます。

自動更新処理に失敗いたしましても、期限内に手動更新を行われますと
更新手続きは完了いたします。

~中略~

なお、当該ドメインは現在他社様のサーバーと紐付けを行われているように
お見受けいたします。

他社様が提供されているサーバーにつきましては弊社にて詳細が確認できず、
明確な案内を行うことができかねてしまいます。

設置されていたウェブサイトデータにつきましては、恐れ入りますが
現在のサーバー提供元様へお問い合わせいただきますようお願いいたします。

はしこ
はしこ
つまり問題はサーバーであって、ワードプレスが丸ごと消えてしまってるという事か…。何故!!!

この時点ではマルウェアのせいだという事には気付いていなかったので、とりあえずどうにかデータを取り戻せないもんか…と、同じメルマガ塾の英男さんから教わった方法で検索エンジンのキャッシュから記事を取り戻すことに成功したよ!

検索エンジンのキャッシュから記事を取り戻す方法

①検索窓に『site:https://ドメイン名』を入力するとインデックスされてる記事一覧が出てきます。

②URLの横の矢印をクリックすると『キャッシュ』という文字が出てくるのでクリック。

そうすると、サイト自体は消えてしまっていても記事内容はテキストで取得する事が出来るんです♪(※もちろん、サイトが消えてしまっているので通常のようにサイト表示はされません。あくまでもテキストとして取り戻す感じです。)

検索エンジンのキャッシュから画像を取り戻す方法

①同じく検索窓に『site:https://ドメイン名』を入力するとインデックスされてる画像一覧が出てきます。

サーバーにアップロードしている画像はここからだいたいは取り戻すことが出来ます。(※但し全てとは限りません。はしこ旦那の場合は一部表示が崩れているようなものもありました。)

はしこ
はしこ
ちなみにこれはクローラーが回ってきてしまうと情報が上書きされて消えちゃうそうだから、もしもの時はなるべく早めに取り戻しましょう~!

英男さん、本当にありがとうございました(´;ω;`)ブワッ

はしこと同じ学年の素敵パパさんで、中古ドメインやアドセンスブログからASPへのステップアップにも詳しいですので、ぜひぜひメルマガ登録しておくことをおすすめします♪

 

一応これで記事と画像は取り戻せたので、またワードプレスをサーバーにアップロードすれば手動で復元する事が出来ます。

(※サーバーにバックアップファイルがあればそれでバックアップすれば良いのですが、6記事という少ない記事だったのと、今回の場合は後々マルウェアに感染してることが分かったので結局は1回ドメインをサーバーから消すのがベストでした。)

 

その後、そのうち時間がある時にまた記事を載せれば良いか…と放置していたら、今度はサーチコンソールとドメイン会社からメールが来ました。

・ドメイン会社(バリュードメイン)からのメール

平素は弊社サービスをご利用いただき、誠にありがとうございます。

早速ですが、お使いのアカウント内で規約違反行為が行われております。

hxxps://~

緊急処置としまして、ドメインを凍結させていただきました。

当サービスを介して、第三者に悪影響を与える行為をなされる事となり認められず、
今後も同様の行為がなされる場合はアカウント削除、ドメイン削除とさせていただく
場合がございます。

お手数ではございますが、お客様にてバックアップを取得の上、サーバー上の
全ファイルを削除し、脆弱性のない最新版に置き換える等、適切な処置を賜ります
ようお願い申し上げます。

また、上記の対応とあわせ、FTPパスワードの変更、FTP接続情報を共有する全PC
のセキュリティチェックを実施の上、ご対応後その旨当フォームのご返信にて
ご連絡ください。

しかも件名が『改竄について』だった。。(読めない。笑 ねずみ…?)

ドメイン凍結ってー!!!

サーチコンソールからもマルウェアに感染しているとお知らせが来ていたので、『これヤバいやつや…。』というのが分かったのです。

マルウェアに感染しているかどうかを調べる方法

…とはいっても、サーバー内を見た所で一体どのファイルがマルウェアに感染しているファイルなのかなんて、はしこには分かりません。

本当にマルウェアに感染してるの?というのはツールにURLを入れるだけで調査が出来て、旦那のサイトはこれで『Dangerous』と出ました。

他のURLを入れるだけで診断できるツールも試したのですが(Virustotal、ノートンセーフウェブでは異常なしと出た)、無料ツールの中ではココが一番精度が高いと思う。

トレンドマイクロ サイトセーフティ センター

 

また、プラグインをインストールするとマルウェアに感染しているファイルを見つけてくれて、そのまま削除までしてくれるというツールがありました。

↑ファイル削除というのを押すだけで削除してくれるから、サーバー操作が苦手な私でもすごい簡単でした。

マルウェアスキャナー

※これはプラグインをサイトに入れないといけないので、それは怖い…って人は無理して入れる事は無いですが、該当のファイルが分かっても削除を自分でできないという人は便利だと思います。

 

こうしてマルウェアを削除して、サーチコンソールとドメイン会社には申請を出して無事にドメイン凍結は解除されました。

が、ちょっと怖いのでそのドメインは今はサーバーからは削除しています(;^_^A

サイトのセキュリティを強化する方法

今回こんな騒動があり、サイトのセキュリティ対策の大切さを実感したはしこは、セキュリティ関係のお仕事をされているメルマガ読者さんから教わった方法で、出来る限りのセキュリティ対策を実施しました!

読者さんからは情報シェアして良いですよーと許可を頂いたので、簡単にできるセキュリティ対策をお伝えしますね^^

サイトのバックアップは必須

まず大前提として、サイトのバックアップは必須です!

バックアッププラグインは色々あるのですが、はしこは自力で復元するのが一番簡単な『All-in-One WP Migration』でバックアップを取っています。

他にも自動でバックアップを取ってメールやDropboxに送ってくれるプラグインなどもあるので、これは自分で使いやすい物を選ぶと良いと思います。

サーバーのバックアップじゃ足りないの?というご質問も頂いたのですが、はしこの場合は運営サイト数がものすごく多くて(※15サイトくらいあるので、正直めったにログインしないサイトも多く、サーバーのバックアップ2週間とかでは到底足りません。気付いた頃にはサイト消えてたって事も十分ありえます。。)

ワードプレス、プラグイン、テーマ、翻訳の更新は常に最新に

ダッシュボードの『更新』から全部が最新になっているかチェックできます。

併せて使わないプラグインやテーマは削除しておきましょう。

※この作業は不具合が出る事も多々あるので、事前のバックアップは忘れずに。

サーバーのPHPのバージョンは常に最新に

エックスサーバーならサーバーパネルのPHP、『PHP.ver切り替え』から簡単に切り替えられます。

※この作業も不具合が出る事があるので、事前のバックアップは忘れずに。

セキュリティプラグインを入れる

はしこは、『Site Guard』というプラグイン全サイトに入れました。

・ログイン時に日本語4文字のパスワード入力が必要になる。

・ログインURLを変更してくれる。

・ログイン詳細エラーメッセージの無効化機能。

・短時間にログインを繰り返す怪しいIPをロックしてくれる機能。

・ログインがあった事をメールで教えてくれるアラート機能。(※ただしちょっと時差アリ。)

等など、他にも色々セキュリティを高めてくれます。

はしこ
はしこ
ただ、専門家に伺うとこれだけでは不十分だそう…(´・ω・`)なので、はしこは自分ではできないような難しい設定は全部専門の方にお願いしています。でも、何もしないよりはマシなので、設定しておきましょうね!

エックスサーバーの人はWAFの設定を

これは専門の方に教えて頂いた、簡単にできるセキュリティを上げる設定です!

エックスサーバーを使っている人が多いと思うのですが、デフォルトではOFFになっている『WAF』という設定があります。

サーバーパネルにログインして一番右下にあるセキュリティの『WAF設定』です。

これがデフォルトでは全部OFFになっています。

自分であまりカスタマイズなどをされず、ただブログの記事を更新するだけという方は、全部ONにしておいた方がセキュリティ面は格段にアップするそうです。

稀に従来通りのWebコンテンツを表示できなくなる等の不具合が出る事もあるようですが、その時はOFFにすればOKなので、あまり怖がることは無いです^^

(はしこの場合は特にそういうトラブルはなかったです。)

他にも…

・ニックネームを設定してユーザー名を表示しない→これはワードプレスの『ユーザー』から簡単に変更可能です♪

 

以下もできたら良いのですが、これは専門的な知識が無いとできないので、外部の業者さんにお願いしないと難しいです…(´・ω・`)

・怪しいIPアドレスをブロックする

・URL[?author=n]を無効にする

・画面の下に出るWordPressクレジットを表示しない

・HTMLコードの表示で、WPやプラグインのバージョン情報を表示しない

もし不安だという方は、はしこがまるっとお任せしている業者さんを紹介しますので、ご連絡いただければと思います(*´ω`*)♪

めちゃくちゃ対応が丁寧で、お仕事も早いですし、価格もかなりお手頃で、、人間性も素晴らしい方ですので安心してお任せできますよ!

 

あとは、自分のサイトのセキュリティレベルがどのくらいなのか?というのもチェックできるサイトを教えて頂きました♪

Security Headers

ただこれ、A判定がでるのは難しいらしく、読者さんが調べたら大手サイトでもA判定が出たのは Yahoo.com くらいだったとか(;^_^A

Amazon.comやxserver.ne.jpでもF判定だそうです。。

そんな中読者さんは不具合が出ない程度にセキュリティ設定してC判定らしい…。(不具合出て良いならA判定なんだって!)

す、すごい(*’▽’)!!!

後日談…

結局その後、はしこがセキュリティ関係をお任せしている方に、サイトへの不正アクセスのログなどを全部見てもらったのですが、事の発端はワードプレスのログインID&パスワードを突破されたのが原因で、そこからプラグインを使ってマルウェアを埋め込まれたという事でした。(旦那の数字だけのパスワードのせいだぜっ。)

複数の海外IPから攻撃がされていたようで、ひどい時はAmazonから30秒間隔でアクセスされていたんだとか。。(何故Amazon?!)

そして、ログを見る限りは次なるターゲットはこの『ままあど!』だったという事です。。

気付かなかったら全部消えてたかも。。バックアップは取ってたとしても、まじでこわい。。

(※今はセキュリティを高めてもらったので、不正アクセスの方はもう安心です♪)

で、結局はしこはこの後、mixhostからエックスサーバーにお引越しする事にしました。

セキュリティ面ではエックスサーバーの方が上だという事です。(が、エックスサーバーで不正なファイルを埋め込まれたという話も聞いたことがあるので、何もセキュリティ対策しないのはまじで危険です!)

 

今回、貴重な情報を下さった読者さん達も、以前に自分がサーバーに不正侵入された経験から、セキュリティについて必死に勉強されたという方もいらっしゃいました。

本当、これは味わった人にしか恐ろしさが分からないと思います( ;∀;)

だって、バックアップ取ってなくて、サーバーのバックアップ期限過ぎちゃってたら、何十万、何百万と稼いでた報酬ゼロになるんですよ…?

 

なので、身近なはしこがこんな体験をしたことで、セキュリティについてちゃんとしよう!と思う方が一人でも増えたら嬉しいです(*´ω`*)

まじで私、血の気引いたかんね!!!

ほんと自分で出来る事はちゃんと今すぐやってね!!!

ちなみに1サイトだけじゃなく、情報発信者さんはサブディレクトリで作った購入者さん限定サイトとかも全部ですよー!!!

どこから入ってくるかは分かりませんしね!

はしこ&旦那のマルウェア体験談│まとめ

以上が、はしこ&はしこ旦那の今回のマルウェア騒動の一部始終まとめです。

家族もアフィリをやっていて、家族のサイトも同じサーバーで管理してて、本人にパスワードやサイト管理は任せてるよ!なんて方も中にはあると思うんですが、まじで危険なので一度セキュリティを全部見直してください!

一人でも多く、私と同じような目に合う方が現れないことを願います。。

これを読んだ方は、お気軽にメルマガやTwitterで情報を広げて貰って大丈夫です。

お友達や大切な読者さんに教えてあげてくださいね!

 

まじで、ウイルスとかマルウェアとか、一度入られちゃうと自力じゃ完璧に駆除できませんし、場合によっては専門業者さんでもお手上げと言われてしまう事もあります。

事前に対策するのが何より大事だと、今までお世話になった専門の方は皆さん口をそろえておっしゃっていました。

皆さん、大事な収入源のサイトは本気で守りましょう(`・ω・´)

 

メルマガでは楽天×Amazonやアメブロ、外注×アドセンスの情報などを幅広く発信しています♪

はしこメルマガで稼げるようになった、ブログが楽しくなったという読者さん急増中♪

良かったらこちらからメルマガ登録してくださいね(*´ω`)

はしこメルマガ☆今すぐ登録↓