WordPressサイトがハッキングされたので

セキュリティ

契約しているサーバーから連絡がありました。

WordPressの脆弱性をつかれ、ファイルを書き換えられているらしいです。

診断プラグインを入れて、不正ファイルをスキャンしました。

不正ファイルを削除しても、別のファイルが生成される。

なぜか、管理者権限をもつユーザーが作成される。

そして被害は、同じサーバー内の全WordPressサイトに広がっていました。

怪しそうなファイルを探しましたが、原因は特定できず。

WordPressのコアファイルやデータベースも確認しましたが、そちらは情報量が多すぎて、完全な解析は難しかったです。

原因として思い当たるのは、3年ほど前に動作確認用に作成したWordPressサイトです。

そのサイトでは、普段使わないプラグインや海外の無料テーマも入れていました。

海外のサイトにリダイレクトされるという被害が発生。

やっかいなのが、いつも起こるわけではなくランダムに発生し、一瞬でいくつかのサイトを経由して見知らぬサイトに飛ばされます。

その時も原因を精査し対策をして、一応リダイレクトはされなくなりました。

その後、サイトの役目を終え、本格的な運営はストップしたのですが、削除はせずに置いていました。

もしかしたら、その時の不正ファイルが除去しきれておらず、他のサイトに影響を及ぼすまでになったのかもしれません。

同じサーバー内に15個のサイトがありましたが、まずあまり稼働していないサイトを削除しました。

そして残ったサイトも、プラグインをできるだけ減らしました。

コアファイル、テーマ、プラグインをクリーンなファイルと入れ替え、別のサーバーに移しました。