ホームページ乗っ取られた – wordpress 自分のサイトがハッキングされてる

愛用していたテーマONE TONEが、、、

WordPressのOnetoneはおしゃれなテーマで、使いやすく長年愛用していたのですが、いつの間にかサポート終わっていて、セキュリティについて維持されていませんでした。なんてこった。

タイムライン
この問題は2019年9月11日にwordpress.orgテーマチームに報告され、テーマは2019年10月10日にリポジトリから完全に削除されました。

推奨事項
利用可能なセキュリティパッチがないため、このテーマをアンインストールすることをお勧めします。

知らずに使い続けてたよ。

サイトが飛ぶ

公開していたホームページにアクセスしたら、変なギャンブルサイトなどに飛びます。なんか変だなと思っていました。

なにこれ。何のサイトなんだかよく分からないけど、お金盗られそうなサイト。

Onetoneの公式サイト

https://mageewp.com/blog/

公式サイトのブログを見たら、

AUG 07, 2018ADRIANAWORDPRESS THEMES

最終更新が2018年だって。なんと。とっくの昔に終わっていたんですって。すごくショックです。

見慣れぬJAVASCRIPTが

ソースを見ると見慣れぬJavascriptが。

こんな事あるんだ。

当初は復旧を試みるつもりだったんですが、セキュリティパッチがないテーマなんて使えない。ただで使えるOnetoneだったけど、こんな形で使えなくなっていたなんて。

基本的な対処

テーマを変えるだけではとても怖くて使えません。どんなファイルが残ってしまうかもよく分からないし。どのファイルが改ざんされているのかを調べるのも大変です。

とりあえず違うところでWordPressで同じような内容を記載し、運用するしかない。

どうするのが一番楽なんだろう。

テーマを変更してみる

面持ちが似たテーマがあったので、テーマを変更してしのげるのかやってみます。

選んだテーマはこれ。

邪魔だったスライダーを無効化します。

先ほど見かけた変なコードを検索

変なコードなくなってる。

とりあえず大丈夫かな。

サイトのウィルスチェック

virustotal

Analyze suspicious files and URLs to detect types of malware, automatically share them with the security community

URLを入力する事でマルウェアがないかを確認してくれるサイト。

SecURL

URL(リンク先)の安全・危険をチェック

SecURLがあなたのかわりに、リンク先に訪問。安全・危険度を判定し、危険度とともに、サイトの構成を訪問前に確認することができます。 ご自身のPCを危険さらすことなく、事前に危険度を判定できる仕組みとなっております。とくに危険とされる海外サイトもリスクゼロで訪問・閲覧することができます。

検査したところ、一応大丈夫になったっぽい。

Onetoneに何かが寄生してたんだなぁ。

Onetoneテーマを変える事で何とかなったのかなと思いたいのですが、本来は不十分ですよね。バックドアが残っているかもしれないし。だけど、ウィルスチェックサイトでは何も出ないのでとりあえず大丈夫。

まずはバックアップ

とりあえず、消せるものを消していこうと思うので、万一のために現状のバックアップを取得する。

いつも使っているのはUpdraftPlus

Googleドライブにバックアップファイルがあるのを確認して次の作業を開始。

不要なテーマを削除

真っ先に削除する候補

不要なプラグインを削除

お問い合わせフォームは使ってないので、

Contact Form 7を削除

こいつはOnetone入れたときに入ってきた気がする。

Uji Countdown

OneTone Companionを消すとトップで使っているスライダーが動かなくなってしまうので、これは削除できない。今のところ。だけどいずれは悪さするかもしれないから削除候補です。

古いWordPressのバックアップを削除

SSHで入って oldとついてるやつは削除

/var/www/html/wp-content$ ls
cache  cjt-content  index.php  index.php-old  languages  languages-old  mu-plugins  plugins  plugins-old  themes  themes-old  updraft  upgrade  uploads  uploads-old

とりあえず、リネームしてホームページ表示に影響を与えない事を確認したらディレクトリ事削除を進める。

ユーザの確認

見覚えのないユーザが追加されていないかを確認します。

system@wordpress.local

こんなユーザ追加した覚えありません。すぐに削除です。

SiteGuardプラグインを入れていたので、ログインログが残っていました。systemユーザでのログインは見当たらないので、このユーザで不正侵入された様子はなさそうです。

ただ、怖いのは違うIPアドレスから、おおよそ30分おきにパスワードクラックが入ってきているところです。

今回の件でOnetoneのセキュリティホールから派生して不正アクセスにきているのか、一般的なパスワードクラックが行われているのかは不明ですが、ロックがかからない程度に、違うIPアドレスからそれも時間をおいて、無数なクラックが行われているのがとっても怖い。

違うIPアドレスの元は、中国だったり、チュニジアだったり米国だったりしています。

こういう時に、レンタルサーバが国外からのIPアクセス制限ができるような機能に対応していると便利ですよね。さくらのレンタルサーバーだと、国外IPアドレスを制限する事ができます。

ロリポップなら、海外アタックガード機能があります。

ロリポップ マネージドクラウドには、残念ながらこの機能がないんです。プラグインなどで対応するしかないですね。

特定の国しかアクセスを受け付けないプラグイン

そこで、IP Geo Blockを入れて、特定の国からのアクセスしか受け付けないようにします。これで攻撃者からの攻撃をかなり減らすことができそうです。

ホワイトリストに国コードを入れて、日本と台湾だけはアクセス可能にします。

こうしてみると、さくらのレンタルサーバは結構優秀です。レンタルサーバ側でガードしてくれたら安心ですから。