他社さん制作のWEBサイト(WordPressで作成)のトラブル対応事例です。

=>文字のところ、追記です(2013/08/20)

ブックマークやURLの直アクセスはできるのに、Yahoo!やGoogleからアクセスすると、
変な海外サイトに飛ばされる

というものです。

原因は、WordPressのテーマファイル(PHPファイル)全部に、暗号化されたリダイレクト文が書かれていたためです。
たちの悪いことに、サイトのアクセス元がYahooなどの検索サイトであった場合のみ、悪質サイトに転送するようになっています。
サイト管理者さんは普段直接サイトにアクセスすると思うので、気づきません。

★重要★飛ばされる先のサイトにウィルスが仕込まれていることが多いので、改竄されたサイトの管理者が加害者として訴えられる可能性があります。


根本原因としては、WordPressの管理者IDが「Admin」で、パスワードが簡単なものであったためです。

=>WEB制作会社なのに、何でこんなパスワードにしたんだろう?と思うぐらいの簡単なパスワードでした。対応もお粗末で、実名を出して警鐘を鳴らしたいところですが。。。


サイト攻撃者が管理画面に簡単に侵入でき、「テーマ編集」メニューから変更したか、サーバ/PCに改竄用のプログラムを仕込まれて、編集されています。
=>制作会社が管理するFTPパスワードも英字だけだったので、ハックされた可能性もあるかなと思います。変更してもらいましたけど。

★ということで、WordPressや他CMSを利用している方は、IDをadmin以外に変え、パスワードも英数字で一般単語のような推測されないものに変えましょう。

★ブログサイトなんかには生年月日が書かれている場合も多いので、ニックネーム+(誕生日の数字の並べ替え)などもアウトです。

★定期的に更新するのも忘れずに!

★覚えやすいパスワードは避けましょう。=”推測されやすい”ですから。

=>★ファイルのアップにFTP(非暗号化の転送)を使うのはやめましょう。

ちなみにPHPのプログラムを普段直接見ない人は、改竄されていることに気づかない人もいるかと思います。

例えば「テーマの編集」で「ヘッダファイル」をクリックしてみて、以下のような記述があればサイトが改竄されています。

<?php eval(base64_decode("・・・・・無作為文字列っぽい英数字の並び
=>補足。復号すると、ブラウザとりファラー(どこのサイトから来たか)を条件文にして、いくつかの検索サイトから来た場合のみ、違法サイトにリダイレクトするようにPHPのコードが書かれてます。これを見て、元々ある記述だと思ってしまう制作会社。。。

心配な方はIE,Chromeなどいくつかのブラウザで、Yahoo!、Googleから自分のサイトを検索し、飛んでみてください。

※もちろん、改竄の内容は千差万別なので、これで何もなくても問題が無いとは言い切れません。

=>ファイル転送ソフト(WinSCPなど)で、サーバ上のファイルの更新日付を確認して、更新されていないはずのファイルのタイムスタンプが新しくなっていないかなどの確認をしてみる。

=>変なファイルが無いか調べる(変なファイルの見分けがつかないことが問題であったりしますが。。。)

なかなかセキュリティーチェックを一般の方が行うのは難しいかと思います。

不安な方はご連絡ください。

専門会社では何十万も請求するかと思いますが、とりあえずCMS(WordPress、Joomla!、MovableType、Drupal など)であれば、市価の1/10程度で対応できると思います(メインの開発作業があるので、対応しきれない場合はご容赦ください)。 
=>とはいえ、やはりなかなか対応しきれません。。。更には、オリジナルのファイルの削除、(追記でなく)修正、バックアップファイルが無いというケースだと、対応できません。以前にサーバHDDのクラッシュ対応した際、3日半徹夜泊まり込みで作業しましたが、死にそうになりました(苦笑)

サイト内検索

長押しで
スクロール