年始めにホームページがマルウェアによって改ざんされて泣きを見た件について。
調べた感じバックドア型ウイルスらしい。そういや昔も似たようなことあったけど、会社勤務してた頃のだったから心のなかで泣きながら処置してたのを覚えてる。
wordpressがマルウェアに感染した時の話。2018年のはじめ、突然管理webサイトのいくつかがトロイの木馬に感染したというメッセージをカスペルスキーが発信してきました。
このソフトにより強制的に見れなくなり、焦る焦る。
Xserverで管理してるものたちは無事だったのですが、mixhostのものたちが軒並み…。
もちろん現在はすべての管理サイトを対策済みです。やったことは下記にまとめました。
現状を確認
表示はどうなってるか
年始の休暇中、たまたま自分のサイトを覗いたところ
トロイの木馬:HEUR:Trojan.Script.Generic
というカスペルスキーブロックされて「は???」という状況に。
上記は一例ですが、このマルウェアが以外にも世界中にはウイルスがたくさんあります。
Kaspersky Security Bulletin-3:数字で振り返る2017年のサイバー脅威>新規の悪意あるファイルの検知数は、1日あたり36万件
もうみんな悪いことやめーや…。管理画面にログインできるか
表示が見れなくなっても、まず管理画面に入れるかを確認しましょう。
今回は管理画面は問題なく入れたので、その前提で記事を進めています。
マルウェア確認サイト等でみてみる
サイトチェックはこちらで簡単に確認できます。
SUCURI
URLを入力して「SCAN WEBSITE!」ボタンを押すだけ。
FTPでファイルのタイムスタンプを確認する(ウイルスの確認・駆除作業)
バックアップを取っていれば、1個1個タイムスタンプを確認してファイルの中身をdifffなどで差分から修正していくことも可能ですが、wordpressなどCMSになるといかんせんファイル数が多すぎる。
実際にやったこと
バックアップをとる
プラグインUpdraftPlus backupをインストール。
使い方はここでは割愛しますが、このプラグインで全ファイルDLしておく。
ウイルス対策ソフトを入れてれば、この段階でDLした圧縮ファイルを展開した段階でファイルを自動的に削除されると思います。
wordpress最新版にする
・FTPからファイルをいちど空にする
・最新版のwordpressをインストール
リストア(復元)
・管理画面にログインし、プラグインUpdraftPlus backupをインストール。
・プラグインからリストアする。
パスワードを変更する
・パスワードを複雑にする。
ノートンパスワードジェネレータなどを使えば簡単にセキュアの高いパスワードを作れる。
https://identitysafe.norton.com/ja/password-generatorプラグインでセキュリティ対策
Anti-Malware Security and Brute-Force Firewall
Anti-Malware Security and Brute-Force Firewallをインストール
wp上のマルウェアをスキャンと、ファイアウォールの役割がある。
有効化すると左のメニューに専用メニューがでてくる。
「scan setting」を選択。
最初の画面、特に項目は選択せずに右側の「Run Complete Scan」を押下。
wpをスキャンされる。
リストアした状態だとまっさらなので特にマルウェアが検出されることもないと思うが、
スキャン後にプラグインをそのまま有効化しておくことでファイアウォールとしての役割を果たす。
※検知されるファイルはすべてがマルウェア感染したものとは限らない。デフォルトのwpファイルもあったりするので注意。
※また、自動で削除してくれる類のものでもない。
iThemes Security
iThemes Securityを有効化。
左メニューに専用メニューができるので、最初に「設定」へ移動。
まずセキュリティチェックの表示がされると思うので、「secure site」を押下。
メールアドレスを登録する。
登録後のメールアドレスの変更方法が不明なので、誰か知ってたら教えていただけると嬉しいです…。
※複数サイト運営している方は、デイリー等でめっちゃメール届くので、メールソフトのフォルダ分け設定したりGmailで管理したりするほうがオススメです。
たまに登録できないエラーになることもあるけど、再度チェックすれば問題ない。
すべてにチェックがつけばOK。
その他設定はさらっとSS掲載のみで
再確認
・もう一度URLを確認する。
・ウィルスソフトのセキュリティを再確認
カスペルスキーを導入していると、一度マルウェアが検出されたURLは警告画面のままロックアウトしてしまうので、
「マルウェア処置したとしても表示されない!」なんてことがありました。
(カスペルスキー2018の場合だと)
左下の歯車アイコンの設定 → Web保護の設定 → セキュリティレベルから
セキュリティレベルを推奨から低にしてURLを確認し、再び推奨レベルに戻す作業が必要でした。ウィルス対策ソフトを導入しててもきちんと表示がされ、
また
こちらのサイト等からもエラーが表示されないこと。
ここまできてようやく一段落、です。もちろん全サイトでユーザーIDやパスワードは異なるし、
htaccessで完全にパスワードかけて封印してたサイトもウイルスにかかったりしてたので、
裏側からやられるのってかなり厄介だなー。
パスワード複雑化、プラグインで対処、他にはサーバーやwpを最新版に。
ほうぼうで言われてるhtml管理がやっぱり最強な気がしなくもないけれど…。
本格的に勉強したいところではあるんですが、セキュリティへの意識がちょっとだけ高くなりました。
その他 参考になるサイト:
iTheme Securityの使用方法
WordPressのセキュリティプラグイン「iThemes Security」の設定を日本語で解説
バックドア型ウィルスにかかった時のワードプレスセキュリティ対策