サイトがハッキング被害に遭いました

運営しているサイト(このサイトではありません)がハッキング被害に遭いました。Google Search Consoleからの通知メールが来て気づきました。

現在は回復しました。何をやったかなど備忘録を兼ねて詳細を記載します。

グーグルからのメール

12/24にGoogle Search Console Teamから1通のメールを受信しました。

貴サイトが第三者によりハッキングされ、一部のページで不正なコンテンツが作成されたことが検出されました。これは重大な問題であり、貴サイトの評判を利用して貴サイトや検索結果で予期しないコンテンツや有害なコンテンツをユーザーに表示するものです。また、この問題により Google 検索ユーザーの検索結果の品質も低下します。そのためGoogleでは、手動による対策を貴サイトに適用いたしました。・・・・・」

といった内容です。

Search Consoleをみると、「ハッキングされたサイト」との警告が表示されていました。

Googleの手動による対策とは

GoogleやYahoo!で検索したとき、当該サイトの検索結果に「このサイトは第三者によってハッキングされている可能性があります」という警告が表示されるというものです。

こんな感じ↓

こんな警告が表示されたら、多くの人はクリックするのを躊躇していまいますよね。この警告表示を解除するには、ハッキングを解決し対策をしたことをGoogleに伝え、再審査をしてもらう必要があります。

真っ先に自分でやった応急措置

私は特段パソコンに詳しいわけではないので、何をどうしたらよいのかさっぱりわかりませんでした。とりあえず当該サイトを確認してみると、変なリンクがたくさん貼られたページにリダイレクトされる現象が起こっていました。

当該サイトは重要なサイトだったので、かなり焦りました。レンタルサーバーはロリポップを利用して、ワードプレスで運用しているサイトでした。真っ先にロリポップのサポートに連絡しようとしましたが、日曜日だったため、電話やチャットでのサポートは休み。仕方ないので、ハッキングに遭ったことをメールサポートに報告して、回答が来るのを待ちました。

サポートからの連絡を待つ間は、一時的にサイトが閲覧できないようにしました。「WP Maintenance Mode」というプラングインを入れて、一時的にメンテナンス表示がされるよう設定しました。これでサイト閲覧者が被害に遭うのは防げます。とても簡単に使えるプラグインなので、ハッキング被害にあったときはとりあえず使うと便利だと思います。

ハッキング被害の内容

ワードプレスの管理画面にはアクセスすることができました。記事の内容が書き換えられた形跡はありませんでした。

ロリポップの管理画面でファイルを確認すると、変な名前のフォルダやファイルが作成されていました。画像の赤枠で囲んだ部分が、ハッキングにより作られたフォルダとファイル。フォルダの中には数千個の大量のファイルがありました。

ロリポップのサポートに調べてもらった結果では、このほかにもwp-contentフォルダやwp-includesフォルダの中のファイル、wp-config.phpファイルなどに不審な記述が見つかったそうです。

怪しいファイルはどれも更新日が12/22以降なので、12/22に(気づく2日前)にハッキング被害に遭ったと思われます。

アクセス解析を確認すると、12/22からアクセスが減っており、12/23には通常の半分程度まで落ち込み、12/24はさらに減りました。

ハッキング被害に対してやった具体的な対応策

12/25(月)の10時過ぎにロリポップのサポートからメールがきました。「サーバー上に不審なファイルがないか確認をするのでもう少しお待ちください。」との内容だったので、辛抱強く待ちました。サイトが閉鎖されている状態で、収益にも影響がでていたため、気が気ではなく、他のことが手につかない精神状況でした。

それから2時間くらいしたら、サポートから再度メールが来ました。不審な記述のファイルが検出されたので、以下の対応をしてくださいとのことでした。

1.パソコンのウイルスチェック
2.FTP・WebDAVパスワードの変更
3.FTPアクセス制限の設定
4.CMSツールのパスワードの変更
5.CMSツールのバージョンアップ
6.WAFの有効化
7.ディレクトリのパーミッションを「705」に設定
8.不審な記述を含んだファイルのクリーンアップ

パソコンのウイルスチェックは問題なかったので、2~8をやろうと思ったのですが、パソコンに詳しくないためよくわかりません。そこで、ロリポップの電話サポートにかけて、やり方を教えてもらいました。ロリポップの電話サポートはスタンダードプラン以上だと利用できます(私はスタンダードプランです)。

「8.不審な記述を含んだファイルのクリーンアップ」ですが、大量の不審ファイルがあったため、私の知識でファイルごとに対応するのはとても無理だと思いました。そこで、今あるファイルをすべて削除して、ハッキングされる以前のバックアップデータを使って復元すればよいのかカスタマーサポートの人にきいたら、それでよいとのことだったので、「すべてのデータ削除⇒ハッキング以前のデータに復元」をすることにしました。

私はロリポップの「バックアップオプション」という有料サービスに加入していたので、ロリポップ側に自動バックアップがされていました。今回の件で、このオプションに加入していて本当によかったと実感しました。

ハッキングされたのが12/22なので、現在のデータをすべて削除し、ハッキング以前のデータに復元するという作業をまず行いました。自分で簡単にできる作業なのですが、電話サポートの人がすべて教えてくれたので、その人の言う通りにしたら無事にできました。これでサイトはハッキングされる以前の状態に戻りました。

続いては、今後の防止策として2~7を行いました。これもロリポップの電話サポートの人の説明を受けながらやったので、無事にできました。ワードプレスのパスワードの変更方法や、パスワード生成サイトまで教えてくれて、本当に親切なサポートでした。

ロリポップとエックスサーバー
ロリポップは速度がいまいちなので、今年からエックスサーバーを契約し、新規サイトはエックスサーバーで作成しています。エックスサーバーも電話サポートがあるのでトラブル対応してくれると思いますが、パソコンにあまり詳しくない人は、ロリポップのほうがおすすめです。あくまでも私の感想ですが、ロリポップのほうが管理画面がわかりやすくて、初心者には使いやすいと思います。

エックスサーバーのサポートはまだ使ったことがないので評価できませんが、ロリポップのサポートには2回お世話になりましたが、とても親身になって対応してくれて心強かったです。

ロリポップの場合、電話対応があるスタンダードプラン以上でバックアップオプションを有料でつけておくのをお勧めします。大した金額ではないので、これで万一のときに何とかなると思えば安心です。

対応後のグーグルからの回答

12/25の15時に、再審査リクエストを出しました。

12/26の11時に「再審査リクエストが承認されました」というメールを受信しました。20時間で対応してもらえました。思ったより早かったです。

今後どのようななるかわかりませんが、現状では検索順位が落ちるなどの影響はでておらず、アクセスも以前の状態に戻りつつあります(アクセスが以前よりやや減っていますが、おそらく年末という時期的な問題と思われます)。

ワードプレスを最新にしていないなど初歩的なセキュリティ対策を怠っていたのは、本当に反省すべきことです。今回は、たまたま時間のあるときで対応できたのでよかったですが、旅行中などですぐに対応できないときに被害に遭ったと考えるとぞっとします。今後はもっとしっかりとセキュリティ対策をやらなければと強く思いました。

コメント