いやー参りました。
気がついたら、このブログが真っ白ですよ!
修正した次の日には、別サイトへリダイレクトされる現象も発生して、満身創痍です。広告収入も入っているのもあって、超ショックでした。
ハックした奴には殺意以外何も湧きません。 割り込みタスクで工数を持っていかれる苦しみを知れ!
なんとか復旧させたので備忘録も兼ねて対処法を記載しておきますね。
注意 ちょっと上級者向けの記事です。
以下のフレーズを聞いてイメージが湧いた方のみ実践してみてください。
・ワードプレスの引っ越し方法を知っている
・ワードプレスのフォルダ構成を知っている
・ワードプレス範囲内でphpの書き方を理解している
ブログにアクセスすると真っ白500エラーになる
ブログにアクセスすると真っ白500エラーになる 発端
グーグルさんから「お前のサイト見つかってないで」ってメールがきていました
(サーチコンソール登録していたから)
試しにアクセスして見ると、500エラーを出して真っ白でした。
ブログにアクセスすると真っ白500エラーになる 調査
とりあえずワードプレスのエラーファイルをのぞいて見ます。
契約しているサーバーのファイルマネージャーから
ワードプレスをインストールしているフォルダを開き、エラーログをチェック。
(ワードプレスフォルダのルートにあります)
エラーを出しているところをのぞいて見ると…
phpが動いてないらしい。
(アナリティクスをwordpressのダッシュボードに出すプラグインでエラーが出ています)
指定されたファイルをのぞいて見ると…
「ナンジャコリャー!」
phpの記述の中に、script が入ってる!
いや、入れられるけど記述がおかしくなって、エラーが出るところに記述されてる!
ハックするならもっと上手いところに記述しろよ…
とか思いながら該当箇所を削除して見ました。
うん、やっぱり動かない。
再びエラーログを見て見ると、別のところでエラーを出しているようでした。
(今度はウェジットエリア!)
どこまで書き換えられてしまったのかわからないので、
ワードプレスのフォルダごとにzipにしてローカル環境にダウンロード。
サクラエディタのgrep検索で怪しいスクリプトを検索します。
(プラグインフォルダをまとめて検索した結果)
お、おう多いな
どうやら影響範囲はアドミンフォルダ(wp-admin)とインクルードフォルダ(wp-includes)とプラグインフォルダらしいです。
おそうじ作戦です!
ブログにアクセスすると真っ白500エラーになる 修正
それぞれ変なスクリプトが仕込まれたフォルダを、
DL仕立てのワードプレスファイルに置き換えます。
(コンテンツとコンフィグは無事だったので、普通に引っ越し作業したほうが良かったかも)
新品のワードプレスをローカルにダウンロードして、
必要なフォルダをzipに圧縮してサーバーにアップロード
サーバー内で展開して除染します。
(アンダースコアがついているファイルは汚染されているやつ)
(zipファイルをExtractしてあげれば展開されて、使用できる)
いやーそれにしても、
GUI(windwsみたいにコマンドを打たずにファイル操作ができる機能)で
こんな作業ができるのはホント優秀ですよね。
最近のWEBサーバーはすごいです。
ちなみに今回作業で使っているのはミックスホスト(mixhost)。
SSDで構成されているWEBサーバーで、画面表示速度が早いのが特徴です。
wordpress管理画面からの応答も早く、ストレスフリーでブログ更新作業ができます。
さらに、
画像の表示速度も早いので、
当ブログのような写真メインのサイトとはすごく相性いいんです!
最近の若者は画面表示が遅いだけで、googleの検索画面に戻ってしまいますからね。
(検索に戻られるのはSEO(googleで上位に上げる技術)的にもマイナスです)
そして何より、ワードプレスでエロサイトが運営できる国内レンタルサーバーはここだけ!
さて、次はプラグインフォルダの除染です。
なにこちらは簡単。
プラグインフォルダごと削除!
雑って?
せっかくなので、使っていないプラグインを整理しておこうかなって。
更新のかかっていないプラグインはセキュリティホールにしかなりませんからね。
というか、明らかにハックされた原因がプラグインですし・・・。
というわけでプラグインフォルダを全削除してワードプレスにアクセスです!
お疲れ様でした。
後はワードプレス管理メニューのプラグインから、必要なものを再インストールして終わり。
ブログにアクセスすると真っ白500エラーになる 対策
対策1 海外からのアクセスを禁じる
ログまであさっていませんが、
海外サイトに飛ばされるJSであったことから、
海外からの不正アクセスの可能性が非常に高いです。
容赦なく、htaccessを設定して海外からのアクセスを禁じました。
参考
対策2 プラグインをなるべく使わない
上記でも挙げた「更新されていないプフラグインはセキュリティホールになるよ」って話。
暇つぶしにテーマ変えたりしているので、
解析コード入れたりするの面倒くさがっていたんですよねー。
そこで、
画像をスライドするプラグインを入れてみたり、
アナリティクスのコードを自動的に入れてくれるプラグインを入れてみたり。
テーマファイルに割り込んで書き込むプラグインなんだから、
セキュリティ上問題が出るのは当たり前だよね。
別サイトに飛んでいってしまう
別サイトに飛んでいってしまう 発端
真っ白になるエラーが治ったので、
「ブログ書こうかなって」思ってサイトにアクセスしたら、
見知らぬ動画サイトに飛ばされてしまいました。
「私のサイトはどこ?」
別サイトに飛んでいってしまう 調査
最初はhtaccessいじられて、リダイレクトかけられた疑いを持ちました。
ファイルマネージャを起動して見てみると、なにもされていない。
そこで、
googleのデバックモード(choremでF12を押す)を起動して、
サイトを表示してみます。
なんとそこには見覚えのないスクリプトがありました!
投稿のコンテンツの中に入って居るので、「DBのほうかな」って思い、
投稿ページの編集を開いてみます。
ああ、やっぱり・・・
投稿にスクリプトが組み込まれていて、
表示した瞬間に別サイトに飛ぶように仕向けられていました。
ってかデータベースに直接書き込まれたのかよ!
phpmyadminで調べてみます。
画像にもスクリプト入っているなんて!
メディアを選択したときに「説明」欄にも出てくるってことですね。
(表示には影響しないけど・・・)
つーか、SQLインジェクションを受けるとは思わなかった。
別サイトに飛んでいってしまう 修正
SQLを書いて該当の場所を置き換えてもいけど、wordpress上で解決してみます。
特定の文字を置き換えることができる「Search Regex」プラグインをインストール
ワードプレス管理画面から「プラグイン→新規追加」を選択します。
検索窓に「Search Regex」を入れて出てきたものを「今すぐインストール」!
使い方は
ワードプレス管理画面 「ツール→Search Regex」を選択し、
置き換えたい文字をそれぞれ入力します。
(今回は該当スクリプトを空文字で置き換え)
「Replace & Save」を押して、置き換えして保存して万事解決です!
(なお、画像の説明までは検索してくれないので、残ったままです。)
そのうち修正します。
別サイトに飛んでいってしまう 修正
AMP化する。
AMPだとオリジナルのスクリプトは動きません。
つまり、
何か割り込みでスクリプトを突っ込まれた場合、
googleからお怒りのメールが飛んできます。
それを利用して、いち早く気がつければ良いかなって。
当ブログはワードプレステーマ「Simplicity」使っているから
ボタン一つで対応できるしね!
(SimplicityのカスタマイズからAMPを選んであげればOK)
wordpressが真っ白!別サイトに飛ぶ対処法 まとめ
というわけで、サイトが真っ白になったときの対策記事でした。
サイト運営者の無駄タスクが減ってくれれば幸いです。
あまりにクラックされるので、静的サイトジェネレーターに移行します。