関わっているWordpressサイトが改ざんされました。
https://www.orange-ss.com/column/0102.html
こちらのサイトを参考にしながら対応し、
一旦、サーバ上のファイルは全て削除しました。
その際に参考ページに従ってWordpressファイル一式を
バックアップしました。
バックアップファイルはサイトの設定確認や改ざんファイルの
検証などに活用できますが、この中のどこかにサイトを改ざんさせる
震源となるプログラムが含まれているかと思います。
こうしたプログラムが活動をするのはサーバ上のみでしょうか。
ローカル環境でも何か怪しい動きを行い得るのでしょうか。
(その場合はPCへの影響が気になっています)
<症状>
・サイトの全ページが404エラーで表示されなくなる。
(Wordpressのダッシュボードは表示され、ログイン可能、
サーバー上にもWordpressのファイル一式は存在する)
・Wordpress直下のindex.phpが改ざんされている。
その他にも改ざんされたphpファイルや見知らぬphpファイルあり
→別ページにリダイレクトさせようとする記述
→正規表現でパスを抜こうとしているような記述
→大量の文字列 など
・見知らぬフォルダが作られており、中に大量のHTMLファイルが。
中身は怪しい通販ページで、さらにJSで別ドメインへ
リダイレクトさせる記述あり。
<対処>
・WordpressダッシュボードのPWを変更
・Wordpressとプラグインを全て最新バージョンに
・index.phpを元に戻す→サイト表示復活(その後は再発なし)
・怪しいファイルとフォルダを削除
・翌日、削除したphpファイルの一部が復活(再発)、
別の場所にも新たなPHPファイルを発見
・FTPサーバのパスワードを変更
・データベースのパスワードを変更
・サーバ上のワードプレスファイルをバックアップ
(投稿のxmlファイル、データベースのsqlファイルも)
・サーバ上のワードプレスファイルを全て削除
<今後>
経過を見守っていますが、その後サーバ上には再発がないようです。
バックアップしたWordpressファイルは基本使わずに、
新たにインストールしたWordpressに以前のテーマやエントリーを
加えていこうかと思います。
回答1件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/03/14 13:09
2017/03/20 09:55