WordPressがマルウェア感染した話し

WordPressがマルウェア感染したものの、何とか復旧することができました。その顛末を備忘録的に書いておきます。

※本投稿には、アフリエイト広告を表示しています。

WordPressがマルウェアに感染

　このWebサイト「ひねもすのたり」ではありませんが、Wordpressで運用している事務所のWebサイトがマルウェアに感染しました。業者に依頼しないと復旧できないかなと思ってましたが、一応、自力で復旧できました。ということで、備忘録を兼ねて、その顛末をまとめておこうと思います。

①Wordpressがマルウェアに感染したら…

　まず、Wordpressがマルウェアに感染したらどうなるのか？という話しです。Webサイトが乗っ取られたり、改ざんされたりということもあるようですが、そんな被害はありませんでした。

ESETがアクセスを遮断

　事の発端は、ウィルス対策ソフトのESETが、危険があるとして、アクセスを遮断したことです。Wordpressの管理画面にログインしていて、編集しようとクリックしたところ、アクセスが遮断されました。えっ、つい、数秒前まで問題なかったのに…というか、何が起きたのか？この時点では、よくわかってない状態でした。ESETによると、トロイの木馬に感染したらしい。

管理画面もWebサイトにもアクセスできない

　その後、Wordpressの管理はもちろん、Webサイトにもアクセスできなくなりました。えっ、どうしょうもなくない？

スマホ・タブレットからはアクセスできる

　スマホやタブレットからは、Wordpressの管理画面もWebサイトにもアクセスできることは確認しました。Webサイトの改ざんはされていませんでした。管理画面にアクセスできたということは、乗っ取られたということもありませんでした。

②診断サイトでは異常なし

　Wordpressがマルウェアに感染した場合、どうすればいいのか？とりあえず、ググってみました。まずは、診断サイトでマルウェアに感染してるか？を調べるという方法が提唱されてました。

　ということで、以下のWebサイトで診断してみました。診断といっても、URLを入力するだけです。

　　①以外は、異常がないという結果でした。とはいえ、ESETが入ったPCからは、一切アクセスできないので、異常がないわけはないんです。つまり、これらのWebサイト診断は、あんまり当てにならないのかもしれません。

③バックアップから復旧するも…

　使ってるレンタルサーバーは、Xサーバーです。Xサーバーには、自動バックアップのサービスがあります。なので、バックアップから復旧すれば、マルウェア感染前の状態に戻せるのでは？と思いました。問題は、いつの時点のバックアップから復旧するか？です。バックアップから復旧しても、その時点のバックアップがマルウェアに感染してれば、無意味です。

　Webサイトをいろいろ編集して更新してたので、あんまり前に遡りたくないし、つい数秒前まで問題なかったから、前日のバックアップから復旧しても、いいんじゃないか？と楽天的に考え、前日のバックアップから復旧してみることにしました。

　自動バックアップからの復元は、①サーバーパネル→②バックアップ→③自動バックアップデータから復元で、バックアップの日付を選択して、④復元を開始をクリックすればOKです。簡単です。さすが、Xサーバー！

　結果は、復旧せず、アクセスできませんでした…前日のバックアップ時点で、マルウェア感染してたのか…

④マルウェア感染駆除プラグインを使ってみた

　Wordpressのマルウェア感染を調べて、その駆除をしてくれるプラグインがいくつかあるみたいです。その内のマルウェアスキャナーというプラグインをインストールしてみました。

　マルウェアスキャナーは、Webサイトからダウンロードして、管理画面からアップロードするタイプのプラグインです。管理画面からインストールできるAnti-Malware Securityでもいいかと思います。

　マルウェアスキャナーをアップロードするために、一瞬、ESETを無効にして、管理画面にログインしました。その後は、タブレットから管理画面に入りました。

　マルウェアスキャナーでスキャンしてみたところ、1つマルウェアに感染してるファイルがあるとのこと、こいつのせいだったのか！？マルウェアスキャナーで駆除することもできるみたいなんですが、どうやっても駆除してくれませんでした。というか、タブレットからだと、「駆除する」をクリックできないんです。

⑤Xサーバーのファイル管理から削除

　Xサーバーのファイル管理から問題のファイル（たしか、JSONだったと思う。）を削除しました。改めてよく調べてみると、インストールした覚えのないプラグインがインストールされてたので、こいつも削除。ググって調べたら、アルファベットが羅列されてる意味不明なファイルも削除していいとのことだったので、そのファイルも削除。

　さらに、削除したJSONと同じ日付に更新されてるファイルも全部削除しました。あとは、インストールした覚えのない画像ファイルとかもあったので、それも削除しました。

　ちなみに、更新日を見ると、1か月くらい前には、感染していたみたいです。そりゃ、前日のバックアップからの復旧じゃ無理か。

無事にWordpressは復旧

　色んなファイルを削除した結果、Wordpressは無事に復旧しました。復旧したのかは、わかりませんが、ESETの入ったPCから普通にアクセスできるようになりました。

　ということで、Wordpressがマルウェア感染したら、サーバーから意味不明なファイルを削除するのが、一番いいみたいですね。

　その後、マルウェアスキャナーが毎日、スキャンしてくれてますが、マルウェアに感染してないようです。ただ、毎日、結構な数の未検出パターンが増えてるのが気になる…

♪Mr.Children「Everything is made from a dream」（アルバム：Q収録）