CG
(@du-bist-der-lenz)
WordPress の DB 接頭辞がデフォルトの「wp_」である事に脆弱性があるので、最近ではレンタルサーバーでのWordPressインストール昨日では、接頭辞を指定していない場合、「wp_」ではない接頭辞にしてインストールされています。プラグインを使って変更を試みる事前に接頭辞を確認していますか。
Kazu00h_optionsというテーブルにあるwp1_user_rolesをKazu00h_user_rolesに変更しようとしたが失敗したという感じのエラーメッセージですね。
あと、新しい接頭辞はKazu00hであることを公開してしまったことになるので、
もう一度接頭辞を設定し直す必要が出てきました。
私が想定していたのは記事等バックアップできるものはバックアップしてから
WordPressを再インストールして戻すということでしたが、それは流石に無理でしたか?
CGさま
ご指摘ありがとうございます。
RICKさま
ご指摘ありがとうございます。テンパってて新しい接頭辞を伏せるの忘れてました。(伏せるつもりでいたのに)
プラグインに頼らす再インストールをお勧めしてくださってたんですね。
ということは、、
いま現在、初期登録画面になっているので、ここから再度作り直すと言うことでしょうか?
WordPressの復旧はどうでしょうか?
FTPでログイン出来て、DBサーバーを確認できる権限がある場合は、「wp-config.php」の設定にDBの接頭辞が記載さてていますので、DBのテーブル名の接頭辞の箇所が「wp-config.php」の設定と一致しているかどうか確認してみて下さい。
接頭辞が一致していないと、DBへ接続できませんので、WP管理画面は初期登録画面になっていると思います。
私だったらこうします(した)。
- 記事やウィジェット設定やテーマの設定等をバックアップ
- wp-config.phpとデータベースを完全に削除
- .htaccessでwp-config.phpへのアクセスを禁止する
- 新しくデータベースを別の名前で作成
- 新規作成したDBにWordPressをインストール
- 記事やウィジェット設定やテーマやプラグインの設定を戻す
こうすることでDBルートからの改ざんを回避することができるでしょう。
ところで、サーバーの管理画面やFTPのパスワードは変更しましたか?
RICKさま
詳しくありがとうございます。
サーバーの管理画面やFTPもパスワードは変更は済ませました。
BackWPupを導入しているのでバックアップは取れているはずなんですが、
素人なので「本当に正しくバックアップできているのか?」という不安から二の足踏んでしまいます。
DBルートからの改ざんが決定的であればやるけれど、違うのならという弱気モードですが、、、、またゴミ箱行きが8記事。
本日教えて頂いたプラグインLogbookは導入時は作動していたんですが、今確認したら「注意: このプラグインは現在使用中の WordPress バージョンではテストされていません。」になっておりました。
やはり、ご教示頂いた方法でやってみるしかなさそうですね。
CG
(@du-bist-der-lenz)
「本当に正しくバックアップできているのか?」という不安から二の足踏んでしまうというのは、わかりません。正しくバックアップできているかは、試せばいいだけです。バックアップできていると思っても、正しく復元できなければ意味無いですからね。それに今回の事象の場合だと、その復元したサイトで暫く様子見たら良いでしょう。それで、「ゴミ箱行き」が起こらなければ、ちょっと前進というところ。どこに、マルウェアが仕組まれているかわかりません。そのまま復元しても、起こるときは起こります。
RICKさま
ご教示頂いた作業、下記のように手順変更も可能でしょうか?
お伺いしたいのは、新しく作り直してから現在のデータを削除するのは可能か?ということです。
1.記事やウィジェット設定やテーマの設定等をバックアップ
2.新しくデータベースを別の名前で作成
3.新規作成したDBにWordPressをインストール
4.wp-config.phpとデータベースを完全に削除
5..htaccessでwp-config.phpへのアクセスを禁止する
6.記事やウィジェット設定やテーマやプラグインの設定を戻す
出来る限り自分で検索して作業するべきだと考えておりましたが、
限界を感じたのでRickさまのアドバイスを頂ければ幸いです。
CGさま
ご助言ありがとうございました。
CG
(@du-bist-der-lenz)
新しく作りなおしてから、また、「ゴミ箱行き」が起こらないかを、様子を見てから現在のサイトを削除して、新しいサイトと置き換えると良いです。また攻撃を受ける可能性はありますからね。『接頭辞を変える』のは事前対策ですから、潜入されてからは、有効ではない手段ですから。「ゴミ箱行き」が起こっている投稿は、同じものではないでしょうか。サイト内部に仕込まれたものなら、回復は容易です。わたしがドメインハイジャックを受けた時は、アクセスログを参照して、サイトを丸ごと封じておいて解決しました。
CGさま
お時間ありましたらご教示ください。
1.アクセスログの参照とは、『 SiteGuard WP Plugin Page 』のログイン履歴で分かるものでしょうか?
2.本日『 WP-Doctor Malware Scanner & Security Pro 』というプラグインを導入しスキャンしましたが「 このサイトにマルウェアは見つかりませんでした」と表示されました。この件について何かご意見があればお願いします。
3.素人なもので「バックアップを取ったものを新しい箱に移し替えても、すでにマルウェイに支配されていたら新しい箱でも同じ状態になるのでは?」と考えてしまいます。ウィルスごと移転するのでは?という疑問です。新しく移転すればウィルスは置き去り?にされ、新しい箱(サイト)はクリーンになるのでしょうか?
素人の疑問でお恥ずかしいのですが、教えて頂ければ幸いです。
どうぞよろしくお願い致します。
CG
(@du-bist-der-lenz)
1、2、3の順ではなくて、2、3、1となってしまいます。@mrsk-tesou さんのサイト内を診てもいないので、マルウェアの素性がわからないので、意見も出来ませんが、「WP-Doctor Malware Scanner & Security Pro」プラグインが認知しているコードでなければ、見つけられないってことはわかることでしょう。それに偽装しているんだろうし、すでにセキュリティをくぐり抜けているのですから。感染後にプラグインを導入しても、本末転倒です。そして、「すでにマルウェアに支配されて」いるのを、バックアップして移転すれば、ウィルスだけが取り残されるわけではないから、新しく危険なサイトを増やして、感染を拡散するだけです。レンタルサーバーで、共用タイプであれば、同一サーバー上に共存されている数百、数千のサイトを巻き込みますよ。ウィルス的行動をしているコードは、不正アクセスされなくても、自ら招いた結果かもしれないし、取り込んでしまったタイミングがわかっても資料的価値にもならないことです。それをあれこれやっているよりも、正体を見つけて除去することに時間を割れるかです。
様子を見るという意味ではこちらのほうが良いかもしれませんね。
サーバーのURLやドメインルートからの構造も見えないので・・・
WordPressアドレス:https://example.com/wordpress
サイトアドレス:https://example.com/
で運営していると想定して書きます。
ドメインルートにWordPressをインストールしている場合は少々ややこしいので
(↑ドメインルートに存在するindex.phpを上書きするので)
新たなサブドメインで運営するか、
(↑この場合は様子を見た後サブドメインへのリダイレクトを忘れずに)
サーバーを変える等したほうがいいかもしれません。
- 記事やウィジェット設定やテーマの設定等をバックアップ(ツール→エクスポートを使用)
- WordPressをダウンロード
- 新たなサブディレクトリにWordPressを設置(https://example.com/wp等)
- 新たにWordPress用のDBを作成
- .htaccessでwp-config.phpをアクセス禁止に
- 新規設置したWordPressを新規設置したDBにインストール(検索エンジン対象外の状態で)
- 旧サイトと同じプラグイン・テーマを新サイトにインストール&設定
- バックアップした記事・ウィジェットやテーマの設定を新サイトに移行
- この段階で様子を見る
- 新サイトで問題がなければドメインルートのindex.phpを新規サイトへ向ける
- 新サイトを検索エンジンの対象とし旧サイトを検索エンジンから除外
バックアップに使用するのは下記プラグインを想定しています。
- WordPress インポートツール(記事のエクスポート&インポート)
- Customizer Export/Import(テーマのカスタマイザーのエクスポート&インポート)
- Widget Importer & Exporter(ウィジェットのエクスポート&インポート)
これで、過去記事やウィジェットに変なものが仕込まれていない限り変な動作はしなくなるでしょう。
他にエクスポート&インポートできるものがあればそれを使用すると良いでしょう。
最初から何度も読み返し、自分なりに考えてみました。不得意分野なため、トンチンカンな内容になってるかもしれませんがお許しください。
CG様
感染後にプラグインを入れても意味なし、理解しました。
書きこぼしてましたが当方マルチドメインで運用し、被害を受けているのは本家?(テーマはsimplecity2→Cocoon)ですが、放置状態だったサブドメイン(simplecity2)は何も問題がありません。それもあってずっとウィルス感染ではなくプラグインとの不具合かと思ってました。本家をsimplecity2からCocoonにしたのもこの問題解決を期待してでした。しかし素人なので何がどう問題なのか分からず、サーバー感染も念頭に対策してみます。
RICK様
これを機会にロリポップからXサーバーへの移転を考えております。
教えて頂きたいのは、サーバー移転の場合はサブディレクトリではなく、現ドメインで運用するのは可能でしょうか?あるいは移転するにしても、ロリポップでサブディレクトリを運用し様子を見た方がよろしいでしょうか?(←本業の時間が減るためこの作業は飛ばしたいのですが、急がば回れ、であればやります。)
尚、テーマはCocoonから公式登録テーマLightningに変更してみました。
*
お二人とも貴重な時間を使ってのご返答ありがとうございます。
この分野は簡単なことでも私にとっては理解が難しいため時間が掛かっておりますが、教えて頂いたこと繰り返し読んで勉強させて頂いております。
心から感謝しております。ありがとうございます。
サーバー移転の場合はサブディレクトリではなく、現ドメインで運用するのは可能でしょうか?
DNSをロリポップからXサーバーに向けるので可能です。
サーバー移転時もやることは同じです。(様子が見れなくなるだけ)
様子を見る or 見ない を決断するのは私の仕事ではなくあなたの仕事です。
その点については私がとやかく言うことはありません。
ただし、私が提示した方法の場合、
記事やウィジェットに変なコードが含まれる場合、
それが実行される可能性は0ではないということを
念頭においていただきたいと思います。
また、WordPressのインストール先はサブディレクトリを選択し、
WordPressアドレス:https://example.com/wordpress
サイトアドレス:https://example.com/
となるように設定したほうが管理がしやすく修正も利きやすいです。
この場合、下記作業が必須になります。
- ドメインルートにwordpressディレクトリの.htaccessとindex.phpを複製
- ドメインルートのindex.phpの修正
追記:
ホストファイルを編集するとドメインがXサーバーに向く前に
今使っているドメインを自分だけXサーバーに向ける事が可能です。
そうすることで、Xサーバーにドメインが向く前に
Xサーバーでドメインを使った作業をすることが可能となります。
こんにちは
感染後にプラグインを入れても意味なし、理解しました。
「WP-Doctor Malware Scanner & Security Pro」は、感染後にしかその価値を発揮できません。
感染していない状態でこのプラグインを入れて動かしても、何も検知できません。
感染が疑われる場合にこのプラグインを入れてチェックするのは全く正しい手順と思います。
(動かない WordPress にどうやってこのプラグインを入れて動かされたのかは分かりませんが・・・)
しかもここまで、何かに感染した、侵入された、改竄されたなどのエビデンスは何もなく、何の確証もありません。
XSSERVERへ移転とのことですが、落ち着いて作業なさってください。
