サポート » 使い方全般 » 新規ユーザーが勝手に登録された

  • 解決済 hokutonojikei

    (@hokutonojikei)


    古いバージョンを使っていた状況なので大変恐縮ですが
    皆様のお知恵をお貸いただけましたら幸いです。

    まず起こった現象から。
    本日スパムコメントが約10通届きました。(英語のみだったと思います)
    コメント一覧のページを表示するとずっと読み込み中となってしまうので
    気味が悪く、何度かアクセスし読み込み中になる前に
    一括チェック→スパムに登録を実行しました。

    それから少したって(数十分だったと思います)
    新規ユーザーが勝手に登録されました。
    メールアドレスは以下のように登録されていました。
    localhost@d0main.co 最後エムです
    (コピペ危険そうなのでこう書きました↑解りにくくてすみません)

    対策として
    ・WPのバージョンアップをクライアントに説明して実行
    ・ユーザーをすべて削除し作り直す。【済】
    ・wp-config(400)とhtaccess(404)パーミッション確認【済、Verアップ後もう一度】
    ・htaccessに以下を追記しました【済】
    <files wp-login.php>
    order deny,allow
    deny from all
    allow from 11.11.11.11
    </files>
    <files wp-config.php>
    order allow,deny
    deny from all
    </files>

    その後数時間中に、Akismetが勝手に停止(1回)
    Audit Trail(ログ監視プラグイン)が勝手に停止(1回)という現象が起きていました。
    これに関しては内部にプログラムが仕込まれたのかもしれませんが
    どの部分をチェックすればいいのでしょうか。

    このような状況ですが、皆様でしたらどのような対策をとりますでしょうか。
    やはり早急なWPバージョンアップ最優先でしょうか。
    よろしくお願いいたします。

5件の返信を表示中 - 1 - 5件目 (全5件中)
  • そのサイトを捨てました。
    と言い切っては身も蓋もありませんが、一番最初にインストールしたワードプレスサイトでクライアントに用意するサイトの実戦用ブログでした。
    テーマ、プラグイン等を共通にした投稿内容だけが個人的なもので、定期的に更新することで同性を見るためのサイトでしたが既にその時にサーバーが攻撃を受けていたようです。

    WordPressはアップグレードしてもサーバーに仕込まれたファイルは上書きされません。
    ある時点からサーバーから、アクセスが頻繁すぎるので運用状況を見なおして欲しい、改善が見られない時は制限もやむをえず、サーバープランを見直すことを勧めるというものでした。

    一般設定の だれでもユーザー登録ができるようにする のチェックを外しましたがログインを試みるアクセスは絶えませんでしたが、その時間帯にパターンがありました。

    そこで、WordPressをインストールしているディレクトリに似ているけど別名のディレクトリを作成。アクセスのない時間帯に内容を入れ替えました。
    引っ越しとかではないので、もしもサイト閲覧をしていたとしても気がついたか気が付かなかったか、今では改善されています。

    ユーザーを削除しても一旦ログインを許しているので、別名でのアタックは可能性も有るでしょう。
    Store とか Shop とかドメインに含むと特定の利用スタイルが予測できるアドレスは内容にかかわらずターゲットにされやすいものだろうと推測しています。

    トピック投稿者 hokutonojikei

    (@hokutonojikei)

    ご回答ありがとうございます。

    Honeypotを作るということでしょうか。
    ディレクトリ名を変えて複雑なものにし
    元の名前と同じサイトで別サイトを構築しておく
    ということでしょうか。
    いい機会なので試してみたいと思います。

    ドメイン、ディレクトリ名でもターゲットになりやすいものがあるんですね。
    勉強になりました!ありがとうございます!

    モデレーター Seisuke Kuraishi

    (@tenpura)

    FAQ/ハッキング・クラッキング被害ハッキングされたサイトに関するウェブマスター ヘルプを読んで適切な対応を行ってください。まず行うべきことは、サーバー管理会社に被害の報告を行うことです。以下をサーバー管理会社に依頼してください。

    • 侵入経路の調査
    • 改竄されたファイルの特定
    • 直近のバックアップからのクリーンな状態への復旧(可能であれば)

    バックアップからのクリーンな状態への復旧が難しい場合、完全なクリーンアップは専門の業者の手を借りないと難しい場合もありますので、クライアントと相談し検討してください。

    トピック投稿者 hokutonojikei

    (@hokutonojikei)

    Seisuke Kuraishiさんご回答ありがとうございます。

    サーバ管理会社へは連絡しましたが
    自己責任でといわれてしまいました。
    取り急ぎご提示いただいたページを確認し
    できる限りの処置をしたいと思います。

    ご提示いただいた内容ですが疑問が出てきてしまいました。
    大変恐れ入りますが質問させていただいてもよろしいでしょうか。
    (このケースは別トピ立てるべきでしょうか。。。)

    ◆侵入経路の調査
    サーバのログを見るとウクライナのIPからアクセスされているのですが
    サーバ管理会社によると海外からのアクセスは遮断しているとのこと
    こういった偽装は簡単にできてしまうのでしょうか。

    ◆改竄されたファイルの特定
    新バージョンを再インストールするつもりですが
    特定するのに良い方法がありましたらご教授願えませんでしょうか。
    (ご提示いただいたサイトも後ほど熟読させていただき理解するよう努めます)

    ◆直近のバックアップからのクリーンな状態への復旧(可能であれば)
    これはデータベースに何か仕込まれるケースというのもあるのでしょうか。

    今後は専門業者様への外注も検討し運営したいと考えています。
    アドバイスありがとうございました。
    お手数をおかけし大変恐縮ですが、お時間ありましたら
    再度書き込みをお願いできればうれしく思います

    トピック投稿者 hokutonojikei

    (@hokutonojikei)

    貴重なアドバイスありがとうございました。
    また疑問点は自分で調査してもダメな場合
    改めてトピ立てさせていただきます。

5件の返信を表示中 - 1 - 5件目 (全5件中)
  • トピック「新規ユーザーが勝手に登録された」には新たに返信することはできません。