WordPressサイトが改ざんされて.htaccessが勝手に書き換えられたのを修復した

WordPressサイトが改ざんされて.htaccessが勝手に書き換えられたのを修復した
Abel EscobarによるPixabayからの画像

改ざんを発見した経緯

最近急にブログへのアクセスが減ったので、顕著にアクセスが減ったページをGoogle検索してみたところ、順位が下がったうえに違うタイトルが表示されました。

Googleがタイトルを書き換えるということもあるのでそれかなとも思ったけど、全く関係ないタイトルだったので変だなと思ってクリックすると、妙なサイトにリダイレクトされました。

アクセス減の原因がわかりました。

問題がある場合はプラグインが原因な時もあるということで、とりあえずWordPressにログインすると、ダッシュボードも表示が崩れ、404が表示されたりするページも。ここでは何もできません。

ということで、FTPソフトを使いプラグインのディレクトリ名を変更してみたけど何も変わらず。すごく焦って再び調査。

修復したけど

Googleで検索したところ.htaccessが書き換えられたと分かったので急いで元に戻す。

やれやれ、これだけならよかった。と、思ったのも束の間、WordPressの表示は何も変わらず。

.htaccessを見ると、修復前に戻ってる。変更後に保存してなかったのかなと思い、もう一回修復。それでもまだ直ってない。

何かのファイルが勝手に書き換えるようにされたのだと思い、またまた調査。

自動で書き換えるファイルを探す

とりあえず、.htaccessと同じ階層にあるphpファイルを見ていると、index.phpが見たこともないコードで埋め尽くされてました。他にもないか探していたら、この階層に無かったabout.phpというファイルがありました。

この二つが原因と仮定して作業します。

問題の根源を直す

まずindex.phpを元に戻しました。次にabout.phpを削除しました。

直ったか確認すると、WordPressのダッシュボードがちゃんと表示されました。サイトを表示したところ、問題なく表示されました。インデックスページの「次へ」で妙なサイトに飛ばされてたのも直りました。

Googleの検索結果からも、正しいページが表示されるようになりました。

まとめ

今回の問題は、.htaccessの書き換えによる他サイトへのリダイレクトが表面的にあったのですが、その奥にはphpファイルの改ざんによる.htaccessの自動改ざんでした。

とりあえず.htaccessのセキュリティ強化をしましたが、セキュリティ全般見直さないといけません。

[追記: 2022.2.21]

修正後サーバーのセキュリティーパネルで色々設定して、FTPのパスワードも変えましたが、また改ざんされました。どうやら他にも自動で書き換えるphpファイルが作られているみたいです。

というプラグインでスキャンできると分かったので、早速インストールしてスキャンしたら23ファイルも作られていました。これらのファイルは必要かどうかは、別に運用しているWordpressサイトで確認し、削除しても良いものだったので全削除しました。

こちらのサイトで勉強しました。

それでも頑なに自動修復するファイルがありかなり困りました。
phpを止めてから削除するとかの方法があるみたいですが、そんなことはできなかったので困りました。
結局フォルダのパーミッションを705にしてフォルダごと削除することができました。その中にはそんなにたくさんの必要なファイルがなかったのでよかったです。