運営しているサイト(ワードプレス)で、下記の画面が表示された。
サーチコンソールにも、あるページがフィッシングサイトに利用されていると通知が来ていた。
要するにクラッキングされて、フィッシングサイトのページが埋め込まれてしまいました。ってことなので、まずは被害が拡大しないように対象のドメインをアクセス制限かけます。
方法は色々ありますが、簡単のできるとこで.htaccessで制限をして入れないようにします。
.htaccessファイルに以下の記述します。
order deny,allow deny from all #すべてのアクセスを拒否
それでは、クラッキングからの復旧。
1:まずは、フィッシングサイトのページが混入しているので、一旦サーバーをクリーンにします。
私の場合はエックスサーバーを利用していたので、ドメインの初期化を行いました。
フィッシングサイトと警告を受けた場合、エックスサーバー側でも、アクセス制限をかけて来ることもあります。制限を解除するには、ドメインの初期化が必要です。
※バックアップファイルを作成していない人は、初期化前に必ずバックアップをしておいてください。
ただしバックアップファイル自体も汚染されているので、バックアップ前に現在あるすべてのファイルに目を通し、見たことの無いフォルダ・ファイルが無いか確認し、あれば削除していきます。
すべてのファイルに目を通すのは困難なので、該当のWEBをローカルに落として、ウイルスソフトで検知する方法を取りました。
私はフィッシングサイト用のフォルダ以外に、バックドア設置用のPHPファイルも入ってました。
2:フィッシングサイトに改ざんされる前状態へ戻すため、バックアップファイルを利用し戻します。
3:ワードプレスのログインパスワード、データベースのパスワードの変更を行う。
4:Wordfence Scanプラグインををインスト-ルして、Scanを開始。
そうすると、New Issues の部分でセキュリティ上で危険なものをピックアップしてくれます。Severity:Criticalとなっているものを対応していけば良いです。
5:プラグイン、ワードプレスは最新のものにUPDATE。
プラグインで数年前に開発が終了しているものは、削除し代替のプラグインに変更します。
6:サーチコンソール画面に、フィッシングサイトになってますよとお知らせが来ているはずです。その文章の中に、下記の内容があるので、こちらのページ部分から、修正したページをリクエストします。
これで早ければ、翌日には警告画面が出ないようになります。私の場合はバックアップをしていたファイルの中にもすでに怪しいファイルが入っており、その部分が検知され1週間近く経っても警告画面のままでした。
怪しいファイル・フォルダはimagesフォルダの中に入っていたりもします。
cash系のプラグイン使っている方、いた方はcashフォルダができていると思います。このcashフォルダの中に怪しいのが色々とはいっていました。
4で紹介しているWordfence Scanプラグインで、cashフォルダ内のファイルがフィッシングの危険性があると警告されていました。
Wordfence ScanでSeverity:Critical と表示されている部分をすべて修正したら、翌日には警告画面は出ないようになりました。
コメント