復旧完了!WordPressサイトがマルウェア(ウィルス)に感染し、Googleからアクセス拒否、レンタルサーバーからウェブアクセス凍結のお知らせ。

ブログやウェブマガジンを運営している方にとって「Google Adsenseの停止」は、広告収入がストップしてしまう恐ろしい事態かと思います。しかし、僕は先日、そんなものは「子供だまし」に思えるほどの衝撃を食らいました。

なんと、自分が運営しているサイトにアクセスできない!

141218_safari_google_keikoku

Safariでアクセスすると「警告:このサイトに移動すると、コンピュータに危害が加えられる可能性があります」と表示。

141228_google_chrome_access_kyohi

Google Chromeでも同じように、「アクセス先のサイトで不正なソフトウェアを検出しました」とシャットダウン!

ガクガクブルブル……。

 

さて、今回の記事は専門的な内容になります。「WordPressサイトを運営中の方」「利用を検討している方」「トラブル中の方」へ向けて書きますので、興味ある方のみどうぞご参考に。

  1. Googleからのアクセス拒否!を、解決。
  2. レンタルサーバー(Xsever)からのウェブアクセス凍結!を、解決。
  3. WordPressサイトを運営するにあたっての「大教訓」を得た。

 

Googleから「サイト見れなくしますね〜」と一通のメール。

141228_malware_wordpress_google

3日前、Googleから「サイトがマルウェア(ウィルス)に感染しているので、ユーザーに対して表示しない処置をしました」といった趣旨のメールが届きました。

はっ? なんだこれ。

サイトにアクセスすると、他のユーザーだけでなく、サイトオーナーの自分もアクセスできない。しかも、その影響はサイト全体にも及んでいるので、サイトの管理画面(WordPressダッシュボード)にもアクセスできない

……詰んだ。orz

実は、このメールが届いたのは、友達の家で泊まり込みで楽しく飲んでいた夜。太刀魚の刺身に舌鼓を打っていた、その1、2時間後にそんな事態に陥るなんて。

瞬時に酔いからさめました。
友達宅でひとり深夜作業。MacBook Proを持って来ていたのが不幸中の幸いでした。


<重要メモ>
WordPressのダッシュボード(管理画面)にも入れず焦ったのですが、Google Chromeの真っ赤な警告画面の下の「詳細」をクリックすると、さらに文章が表示されます。その一番下のリンクをクリックすれば、サイトへアクセスすることができました。その隙にバックアップが取れる!


 

【衝撃の解決その1】Googleがアクセス拒否!

141218_google_webmastertool

なぜ、Googleから親切に「マルウェア(ウィルス)に感染してるよ」とメールが来たのか。

それは、Google ウェブマスターツール(追記:現在はサーチコンソールに名前が変わりました)にサイトを登録していたからです。もし同じような状況に陥り、Google ウェブマスターツールに登録していない方は、早急に登録してください。サイトの診断をしてくれます。

解決までの手順を箇条書きで記します。

  1. 使用していないプラグインをすべて削除。
  2. 使用中のプラグインをアップデート。
  3. WordPressをアップデート(最新版であっても、もう一度更新しなおす)。
  4. プラグインTheme Authenticity Checkerをインストール。テーマにウィルスが潜んでいないかをチェック。
  5. Googleに申請(サイトをもう一度見てほしいと依頼)。
  6. 念のため、レンタルサーバーのエックスサーバー(Xsever)のカスタマーサポートヘメールで報告。

141218_google_webmastertool_2

  • この時点で深夜2時。一旦寝て、朝Googleウェブマスターツールを確認すると「Congratulations!(おめでとう)」のメッセージが。マルウェアを完全に消去することができました。

http://papayaru.com/: No malware detected
Congratulations! Google has received and processed your malware review request. We did not detect any malware on your site. As a result, we’re removing the malware warning from your site. This may take some time to happen. (You can check the status of your malware review at any time using Webmaster Tools.) To keep your site safe, we recommend the following: …


<メモ>
思い返せば、1週間ほど前に、突然WordPressに新しいユーザーが勝手に追加されていたんです。なんだか機械的な名前で、WordPressをアップデートをしたタイミングで自動で入るサンプルアカウントみたいなもんだと思い、数日放置していたのですが、やっぱり気持ち悪いのでアカウントを削除したんです。多分、あの頃にウィスル感染したんだと思います。


マルウェアとは?(Wikipediaより引用)
不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称である。マルウェアには、様々な脅威が含まれる。マルウェアの例としては、ウイルス、バックドア、キーロガー、トロイの木馬、WordやExcelのマクロウイルス、ブートセクタウイルス、スクリプトウイルス(BAT、Windowsシェル、JavaScriptなど)、クライムウェア、スケアウェア、スパイウェア、悪質なアドウェア、ミスリーディングアプリケーションなどがある。日本では、「悪意のある不正ソフトウェア」または「不正プログラム」とも呼ばれる。




しかし、本当の地獄はここからでした。

 

【衝撃の解決その2】エックスサーバーから「サイト凍結のお知らせ」。

レンタルサーバーのエックスサーバー(Xsever) より、「ウィルスに感染しているので、サイトを見れなくしますね〜」とメールが来ました。


<エックスサーバーさんからのメール>
また今回のメール送信を受け、お客様のサーバーアカウントに不正なファイルの設置や不審なFTP接続がないかなど、セキュリティ調査をいたしましたところ、不正なファイルが検知され、海外からの不審なアクセスが多数存在しておりました。

このような状況では、大量のスパムメールの送信や、フィッシングサイトの開設などの不正な行為が行われる可能性が非常に高いものでございます。

そのような被害の拡大を防ぐ為、一旦【papayaru.com】ドメインに対するWEBアクセスを制限し、FTPアクセスが可能な状態にいたしております。

*webアクセスを行うと403エラーとなる状況です。


 

サイトが不正アクセスを受けた原因は?

エックスサーバーさんよりご丁寧なメールを頂き、ウィルス感染した原因は以下の3つが考えられるとの事でした。

  1. お客様のPCがウィルスに感染したことによりFTPパスワードが流出した可能性。
  2. お客様がサーバー上にアップロードしたプログラムの脆弱性を突かれたことにより不正なファイルをアップロードされた可能性。
  3. お客様がお使いのFTPパスワードが単純な英単語の組み合わせなど、容易に推測される文字列であり、パスワードを推測され、乗っ取られた可能性。

そして、自分の場合おそらく「2」が原因で、WordPress + Slider Revolution(プラグイン)の脆弱性を突かれたものではないか、ということです。

な、な、なんと!Googleから「よくできました」をもらったと思ったら、次はサイト運営で使用しているエックスサーバー(Xsever) より、サイトを強制的に止めるという措置が。

慌ててサイトへアクセスすると、まだブラウザでアクセスできる状態でした。もしかしたら、猶予期間なのかも知れません。速攻でできる限りのバックアップを取りました。

<バックアップ手順>

  1. FTPで、すべてのファイルをローカル(PC)にダウンロード。
  2. WordPressダッシュボードのツールよりエクスポート(xmlファイル)。
  3. テーマ、プラグインなどバックアップ取れるものは取る、取れないものはメモる。
  4. サーバーの管理画面で、ドメインの初期化(ウェブ領域・設定の初期化)。
    この時点でサーバー内のウェブデータはすべて空っぽに。

サイトをデータを全て消す、という恐るべし作業を行いました。続いては復旧です。

<サイト復旧手順>

  1. WordPressをインストール。
  2. FTPでダウンロードしていた画像ファイルを、再びFTPで全てアップロード(wp-content/uploadsディレクトリ。怪しげな文字の羅列があるようなウィルス感染ファイルがないか要確認)
  3. WordPressダッシュボードより、テーマをインストール。
  4. 使用していたプラグインをインストール。有効化。
  5. 子テーマ設定。有効化。
  6. パーマリンク設定(パパやるの場合、カスタム構造欄にこれを記載 /%postname%/ 。これをしないと記事のURLが元通りにならない)。
  7. htaccessファイルを元の記述に書き換える(これをしておかないと、次のインポートでエラーが出た)
  8. WordPressダッシュボードのツールよりインポート(xmlファイル)。
    Download and import file attachmentsにチェックを入れる。非常に時間がかかる上に、途中で止まることもある。失敗していたら、もう一度インポート作業指示をする。
  9.  ウィジェットを手作業で復旧(サイドバーやフッターなどをカスタムするウィジェットは現時点ではバックアップできない)。
  10. 子テーマのスタイルシートを書き換え(カスタムしている場合のみ)。
  11. ライターのプロフィール欄を記入(テーマ依存のプロフィール欄はバックアップされない)。
  12. 設定の各項目を記入(1ページに表示する記事数、Ping飛ばし先、コメント欄をどうするか、など)
  13. すべての記事をチェック(画像のリンク切れが結構あったのでひとつひとつ修正)。

先ほど、無事復旧完了しました。

トラブルを乗り切って得た「教訓」

サラッと解決したように書いていますが、うまく復旧できずに何度もチャレンジしました。かなーり必死です。そんな経験を経て、得た教訓を書き残しておきます。

  • WordPressのアップデートは必ずすること。
  • プラグインのアップデートも忘れずに。
  • 気軽に他人のサイト制作を請け負わない(完成後のメンテナンスは絶対必要なので)。

<最後にひとこと>
今回のことで、WordPressの知識は2ランクくらいあがりました。サイト制作、バックアップ、復旧、サーバー移行、Google対策など、なんでも来いです!ただし、ウィルス感染だけはもう勘弁……。