何回もされた【WordPress(ワードプレス)のハッキング】
カテゴリ:WordPress
本ページはプロモーションが含まれています
この記事は約3分50秒で読めます。
こんにちは!グローイングスケールの竹林と申します。
Web業界15年以上でWordPress(100サイト以上構築)とSEOが得意なWebデザイナーです。
noteで「爆速!速くGoogleにインデックスしてもらう方法」を書いたので、ご興味ありましたらご覧ください。
「好き」なことを仕事にしたいという方のお役に立てればと思います。
ハッキングされる度にスキルアップ
仕事で何度もされましたワードプレスのハッキング。。
あまり自慢できない事ですが、、、
当時7人ぐらいの会社に在籍していたのですが、WordPressをいじれる人間は自分と社長しかいませんでした。
そんな環境でほんとんどの案件で自分がWordPressの組み込みを行っていたのですが、その会社に入ってからWordPressを覚えたので、ハッキング対策など行ってもいないも同然のサイト制作でした。
そこで、世界的にWordPressの脆弱性が話題になった時など、必ずと言っていいほどハッキングされ、変なコードが挿入されてたり、ページを見ると海外のサイトにリダイレクトされたりしておりました。
いろいろなハッキングの対策に触れ徐々にWordPressのハッキング対策のスキルもあがってきました。
その時のクライアント様にはご迷惑をおかけしました。。汗汗
よくあるWordPressのハッキングのパターン
- Googleの検索結果内に「危ないサイトです」と表記される。。
- 変なコードが、ヘッダーやフッター付近などに挿入されている ※実ファイルではなくて、サイトのソースを表示させるとわかりやすいです。
- ページを見ると外国のサイトにリダイレクトされてしまう
- 知らないユーザのアカウントが増えていた
- サイトが真っ白で閲覧できなくなってしまった
こちら、自分の経験上ので、複合的なケースもありましたが、だいたいこんな感じでしょうか?
あと、わかりやすいチェック方法として、SEOのチェックでよく使う「site:」コマンドを使う。
これで、自身のサイトのドメインをサイトコマンドでGoogleのインデックスを調べます。
その際に明らかに作成したことがないページや、外国語で書かれているページなど確認できたら、ハッキングされてると思って間違いないです。
WordPressのハッキングされた場合の復旧
この復旧作業が大事になってきます。
ハッキングされたとなれば発覚した時にパニックになりやすいですが、落ち着いて確実に対処していきましょう。
不審な怪しいファイルを削除する
もう最終的にはWordPress本体のフォルダを最新のアップロードしてしまう。
※注意点としては、上書きだと上書きされない怪しいファイルなど残ってしまうから、全てWPフォルダを削除した上で、新規のまっさらなWordPressのフォルダをアップロードする。
「wp-content」のフォルダ以外のファイルをお掃除するイメージです。
もちろん、「wp-content」のフォルダなどはバックアップしておいてください。
WordPress管理画面の「更新」ページからもWordPressの再インストールが可能です。
もちろん、ドメインTOPディレクトリにあるhtaccessやindex.phpなども怪しいコードが記述されてないかソースチェックしてください。
「wp-content」フォルダをチェック
「wp-content」の中にはthemes、plugins、uploadsフォルダがあります。
その中のファイルを丁寧に一つずつソースを調べていきます。
自分の経験では、themesフォルダのheader.php、footer.phpだったり、uploadフォルダの各ディレクトリ内に変なファイルがあったりする事が多かったです。
WordPressの管理画面でやること
パスワードを変更する際でも良いですが、セッションの【他のすべての場所でログアウト】を実行しましょう。
あと、投稿ページや固定ページで変な記事が投稿されてないかチェック。などなど
各アカウント情報の変更
- サーバのFTP情報
- サーバの管理画面のアカウント情報
- WordPressのアカウント情報 ※支障なければ、ユーザ名も
- DBのパスワードの変更
を変更します。
ちなみに、自分はパスワードのなどは生成ツールなどを使用して、記号なども入っている複雑でランダムな文字列のパスワードに変更しています。
ハッキングされて生成されたページのインデックス対処
ここ忘れがちな部分ですが、大事な部分です。
まあ、しっかりウィルスを削除した状態を作れたら、自然にGoogleも正しく認識してくれるだろうと思っています。
対処方法としては、Googleのサーチコンソールから警告などが来ていた場合は、基本的にその通りにやります。
まず、ハッキングされたと思われるページを削除する。
削除すると、大抵が真っ白になるか、404になります。
そのうえで404などになってなかったら404を返すようにしたり、410を返すようにしたりを、プラグインやhtaccessで制御します。
そして、サーチコンソール側の作業になります。
サイトマップを再送信してみたり場合によって、削除URLツールを使用したりします。
念の為、ツールでサイトを確認
どれも、サイトのURLなどを入力するだけで簡単にサイトが感染されてないかチェックできます。
https://www.virustotal.com/ja/
https://www.aguse.jp/
WordPressのハッキングを調べるプラグイン
プラグインからハッキングをチェックできます。
その名は「Theme Check」プラグイン
ちょっとあまりにも乱文になってしまったため、後日書き直します。
WordPressやWebのお悩み、わたしが解決します!
はじめまして。この記事を書いた竹林です。
WordPressやコーディング、SEO対策などのことでお困りですか?
15年以上の経験を持つWebデザイナーが、あなたのお悩みを解決します。
記事の更新ができない、設定方法が分からないなど、どんな小さな問題でも対応可能です!
合わせて読みたい「」の記事
執筆者
Growing Scale
Web業界約15年。WordPress化したサイトは約100サイト。SEOキーワードで上位表示経験多数。最近はGoogleのデーターポータルがおもしろい。ウェブ解析士。サイト制作実績
「Web制作」の関連記事
地域の未来を支える「流山・空き家を生まないプロジェクト」に参画
この度、GrowingScaleは「流山・空き家を生まないプロジェクト」にプロジェクトオブザーバーとして参加しました。...
おすすめのホームページ制作会社として掲載されました
こちら(https://seo-assist.jp/seo_measures2/20231219104838/)のサイ...
職業訓練校での講師業スタート
グローイングスケール代表 竹林は、職業訓練校での講師業を開始しました。 Web制作と、SEO対策の全般にわたる知...
新登場!3つのWeb制作プラン
グローイングスケールの新しいWeb制作プランが登場。 今回は、特に不動産仲介会社、老人ホームの営業会社、そしてク...
【爆速!速くGoogleにインデックスしてもらう方法】note販売中
今までの経験や実績を元に、Googleに速くインデックスしてもらう方法をnoteにまとめて販売しております。※¥5,9...
フリーランス協会の一般会員になりました
フリーランス協会の有料会員(会員番号: 014524)となり、同時にフリーランス向けの賠償責任保険に加入いたしました。...