ゆずハック

ゆずハックというブログです。プログラミングからデザイン、生活や恋愛のことまでつらつらと書いています!

> > 【checking your browser before accessing...】自分のWordPressサイト・ブログが不正アクセスされて、ファイルを書き換えられ、ウイルス感染しそうになったまでの対処と対策を公開します。

【checking your browser before accessing...】自分のWordPressサイト・ブログが不正アクセスされて、ファイルを書き換えられ、ウイルス感染しそうになったまでの対処と対策を公開します。

BLOG

スポンサーリンク

どうも、ユズです。今日はサイトやブログがもしウイルス感染していたらという場合についての対処や対策について書きたいと思います。

私自身、このブログとは違う自分自身のポートフォリオサイトを、サーバーはロリポップ、ドメインはお名前.comで運用しているサイトがあり、数ヶ月前から、知り合いや自分でも「ユズのサイト開くときになんか変なの出るよ」と言われていました。

どんな症状?

スクショを取っておけば良かったのですが、撮り忘れてしまったので、サイトに行く前に「checking your browser before accessing "WebサイトURL"」というような表示のページが一枚挟まれます。私自身もググったりしたのですが、DDoS攻撃されているぐらいにしか出てこず、対処法がわかりませんでした。teratail.com

それからどういう対処を取ったのか?

専門的なところに聞くべきと思って、そのサイトのレンタルサーバさんであるロリポップさんに問い合わせました。迅速な対応をいただき、以下の回答が返ってきました。


f:id:yuzuhooo:20170624182424j:plain

不正アクセスでサイト改ざん・・・最終的にはサイト閲覧者のウイルス感染・・サイバー攻撃

怖っの一言でした。聞いて良かった、、、。
ちょうど仕事帰りの電車だったので、帰ってから速攻指示された対処法を行いました。

その前に原因について

おそらくWordPressのテーマを更新しなかった脆弱性から、不正アクセス、ファイルの改ざんになったのではと思っています。詳しい原因はわかりませんが、書き換えられていたファイルがそうであったため、このように推測しています。

対処・対策について

下記のことを行って下さいと言われたので速攻やりました。

  1. パソコンのウイルスチェック
  2. FTP・WebDAVパスワードの変更
  3. FTPアクセス制限の設定
  4. CMSツールのパスワードの変更
  5. CMSツールのバージョンアップ
  6. WAFの有効化
  7. ディレクトリのパーミッションを「705」に設定
  8. 不審な記述を含んだファイルのクリーンアップ

1.パソコンのウイルスチェック

恥ずかしながらウイルス対策ソフトを入れていなかったので、カスペルスキーというウイルス対策ソフトを入れました。ウイルスチェックをしたら感染はなかったのですが、トロイの木馬系のファイルを検出してくれて削除までしてくれました。
Mac版2年で5640円で、月換算なら235円です。ウイルスバスターやNortonもそれぐらいなので入れておいた方が絶対にいいです。

www.kaspersky.co.jp

2.FTP・WebDAVパスワードの変更

改ざんはお客様の「FTP・WebDAVパスワード」が特定されることにより発生することもございます。ユーザー専用ページの〔アカウント情報〕で
「FTP・WebDAVパスワード」を推測されにくいものへ変更してください。
パスワードは複雑にしてあるけど、一応変えました。ぎくっとした皆さんもこの機会にぜひ変えてみて下さい!面倒な人は">1Passwordという、エンジニア御用達のパスワード管理ツーツもおすすめです。

3.FTPアクセス制限の設定

私のFTPサーバーに複数IPから接続されていたらしく、自分のPC(IPアドレス)しかアクセスできないようにしました。

▽ロリポップの場合のFTPアクセス制限の設定
FTPアクセス制限の設定 / ファイル管理 / マニュアル - レンタルサーバーならロリポップ!

4.CMSツールのパスワードの変更

改ざんは、WordPressなどCMSツールの管理画面のパスワードが特定されることにより発生することもあるそうなので、こちらも一応変えました!
本当はブログorサイトURL/wp-adminBasic認証などするとかなり良いのですが(二段階認証になって頑丈なセキュリティになります。)

5.CMSツールのバージョンアップ

WordPressなどのCMSツールや、そのプラグインなどに脆弱性がある場合、悪意を持った攻撃者によってファイルが改ざんされ、スパムメールを大量に送信したり悪意のあるページへ自動的に遷移させられてしまうケースがございます。

正直今回の原因はここなのではないかなと思っています。実際書き換えられていたファイルがsimplicityというテーマファイルだったので、速攻最新テーマ・プラグインにしました。ただしテーマに関してはバージョンアップをすると、CSS等での自身でのカスタマイズがなくなってしまうので注意してくださいね。(私はそうなってしましました、、、。)

6.WAFの有効化

WAF(ウェブアプリケーションファイアウォール)は、これまでの
ファイアウォールなどでは防御できなかった攻撃を検知しブロックする機能です。
WAFを有効化して不正アクセスへご対策ください。
元から設定されていたので、一旦スルー。

▽ロリポップの場合のWAFの解除・設定 - マニュアル
WAFの解除・設定 / セキュリティ / マニュアル - レンタルサーバーならロリポップ!

7.ディレクトリのパーミッションを「705」に設定

ディレクトリのパーミッションの設定を「777」やなどに設定されている場合は、
誰でも書き込める設定となっているため、改ざんが行われる可能性がございます。
すべてのディレクトリのパーミッションは「705」と設定してください。
こちらも大丈夫そうなので一旦スルー。

8.不審な記述を含んだファイルのクリーンアップ

原因で述べた不正ファイルの削除修正を行いました。これが真の原因。ウイルス源。

その後・・・

上記の対策を取ったのち、ロリポップさんに再度問い合わせたら、大丈夫とのことで連絡をいただき、今も普通にサイトは動いています。良かったの一言です。

実際に放置しておくと、他の人にウイルスをばらまいて迷惑になったり、せっかく運営してきたサイトの閉鎖ということにもなりかねません。そう思うとインフラとかセキュリティのエンジニアさんはすごいなとも感じたり、皆さんも checking your browser before accessingという警告がで始めるようになったら、借りているwebサーバーさんなどに問い合わせてみてくださいね。