WordPressが乗っ取られました(突然)
ある日自分のWebサイトを見ると、大変なことになっていました。
アクセスすると、不審なマルウェアサイトに転送されてしまうのです。
人体検証
「あなたはロボットでわない確認してために、許可のボタンをプレスして下さい!」
このメッセージが自分のサイトを訪問した人に出てしまい、
「許可」を押してしまうと、危ないサイトからの通知が許可されてしまうという寸法です。
自サイトの運営が止まるばかりか、加害者にさえなり得る事態です。対策しなければいけません。
アクセス先アドレスの調査
管理画面にもアクセスができなくなってしまっています。
転送先アドレスはマルウェアサイトですが、おそらくどこか中間サイトのアドレスを埋め込んでいるはず。
早速、Google Chromeのデベロッパーズツールで調査します。
(Preserve logにチェックを入れてください)
HTTPのリダイレクトコードは302です。
該当する転送先は、
「https://best.****************.com/」でした。(画像から読み取ってください)
このアドレスが、Wordpressのデータベースやファイルに埋め込まれています。
WordPressデータベースの解析
phpmyadminをインストールし、GUIでデータベースを操作できるようにします。
yumでなぜかうまくいかなかったので、ZIPで解凍してDocumentRootに置きました。
データ全件をCSVでダウンロードし、検索をかけると3か所の埋め込みを確認しました。
バックアップを取ったうえで、値をもとに戻します。
これで復活!
無事、サイトにアクセスできるようになりました。
対策等は別記事で。
コメント