ワードプレスが不正アクセスにより、エックスサーバーから403アクセス停止を食らってバックアップ・復旧した一部始終まとめ

[chat face=”nakamura.jpg” name=”中村” align=”left” border=”none” bg=”gray” style=”maru”] なんてこった・・・終わった・・・ [/chat]

ある日、ふとメール受信ボックスを除くと、エックスサーバーからの【重要】というメールが。

そのため、事後のご案内となり大変恐縮でございますが、
緊急措置として下記制限を実施しております。

▼サポートにて実施した制限内容
——————————————————-
当該サーバーアカウントに対する緊急的なWebアクセス制限を実

 ※上記処理に伴い、Webアクセスを行うと403エラーとなる状況です。
——————————————————-

サーバ側で、アクセス制限がかかり、サイトにアクセスできなくなりました。ナンテコッタ\(^o^)/

ちょっとまって!イベントの集客中なんだけど!

そのLPも見れないってことやん!?

てか、同じサーバで開設した他のサイトも全部見れなくなってるやん!

ナンテコッタ\(^o^)/

ナンテコッタ\(^o^)/

ナンテコッタ\(^o^)/

・・・ということで、そこから何とか復旧するまで3-4日。

初めてのことなので分からない事だらけでしたが、いろんなサイトを読み漁りどうにかこうにか収拾がつきましたので、備忘録として誰かの参考になればと思い、記録にしたためておきます。

目次

この記事は、こんな人におすすめ!

  • エックスサーバーを借りてワードプレスを運用している
  • 同じような症状でサイトにアクセスできなくなった
  • 同一サーバで他のサイトも運用している
  • ほったらかしにしているワードプレスから侵入されたっぽい
  • 復旧するサイトが多くて心が折れそう

大丈夫です。僕も10件近くのサイトをこの手段で復旧させました。

1つ1つ手順を追って、進めていきましょう!

不正アクセスの原因

いろいろ考えられるのですが

  • 海外からワードプレスダッシュボードにログインできるようにしてて、設定を元に戻すのを忘れてた
  • ワードプレスをインストールしたっきり、更新などもせずに放置しているサイトが複数
  • プラグインの更新を怠っていたケース複数
  • セキュリティ対策のプラグインを入れてないサイトもあったり
  • もしかしたらパスワードも安易なものにしていたものもあるのかも

・・・と、いろんな原因が想定されます。

昔と比べてどんどん簡単にワードプレスを設定できるようになった分、データの管理やセキュリティ対策も完全に自己責任で行わないといけません。

[chat face=”nakamura.jpg” name=”中村” align=”left” border=”none” bg=”gray” style=”maru”]こんなしょうもないことするやつおるんやなぁ[/chat]

・・・と言う気もしますが、、、泣き言も言ってられないので気合いで何とかしてみました。

参考にしたサイト

こちらのサイトが全く私と同じ症状で、アクセス制限解除から、復旧まで、非常に参考にさせていただきました。

こちらのサイトは、サイトのバックアップのそもそもの仕組みをついでに学ぶために参考にさせていただきました。

アクセス制限解除までの下準備

サーバーデータのバックアップを行う

バックアップの手段はいくつかあるのですが、結論から言うとFileZilla(ファイルジラ)というFTPソフトを使うことにしました。

FTPソフトあんまり使ったことないんだけど、、、と不安な方も、復旧の時に必ず使うので、ここで使い方を押さえておきましょう。

インストールの仕方はこちらが参考になると思います

サーバへの接続方法は、エックスサーバーから届いたメールを参照して、

ホスト→FTPホスト名

ユーザー→FTPユーザー名

パスワード→FTPパスワード

を転記し、クイック接続を押すと行けるはずです。

接続出来たら、次の手順でサーバーのデータをデスクトップなどに丸ごと持ってきます。

サイトにアップしていた画像や動画の量などにより時間が大幅にかかる場合があります。

私の場合は5GB以上あったので、かなりの時間を要してしまいました。

***

もっと簡単なバックアップ方法もあります→エックスサーバーから有料でバックアップを取る方法 *こういうイザという時に心強さを感じるのがエックスサーバーの一番の利点なのかも。

こちらのサイトではFFFTPというソフトを使ってバックアップすることが紹介されていますが、中村のダウンロードデータが大きすぎて、何度もエラーが出てしまいました。

FFFTPだとエラーが出るケースも報告されているようで、2日ほどここで時間を要してしまい、結局はFileZillaを使ったらうまくいった。という次第です。

***

ダウンロード後、パソコンを丸ごとウイルスチェックします。

試しにダウンロードしたデータを覗いてみたの図

怖っ!!

あちこちに謎のファイルが埋め込まれています。1つ1つ見て大丈夫そうなものをアップしないといけません。

[chat face=”nakamura.jpg” name=”中村” align=”left” border=”none” bg=”gray” style=”maru”]めんどくさいから、サーバーきれいにしてから再アップすればいいよね。なんて甘い考えはここで見事に打ち砕かれました。[/chat]

サーバーのクリーンアップ・初期化をする

続いて、こちらを参考にサーバーにある汚染されたデータを全てきれいさっぱり初期化してきます。

ここから行う作業で、サーバー上のデータはきれいさっぱり(感染したと思われるファイルごと)削除することになります。

バックアップが済んだら、清水の舞台から飛び降りる気持ちで、1つ1つ削除していきましょう。

(エックスサーバーから届いたメールのこちら↑の部分になります)

独自SSLが設定されているドメインのため削除できません。と表示された場合は・・・

メールの指示にあるように、ドメインを削除するのではなく初期化→ウェブ領域・設定の初期化を行うようです。

***

あれ!?SSL設定されているドメンが消えない!と、サポートにメールで相談しようと思いましたが、↓のとおり、ちゃんと手順が書いてありました。

***

もうここまで来たら「ハハハハハ ( ゚∀゚)」と、全て開き直りながらの作業にだんだんなってきます(笑)

  • XXXX.xsrv.jp
  • naka668.com (←オプション独自SSLを利用)
  • SSL

この3つだけしかフォルダが存在しないことを確認します。

アクセス制限の解除

エックスサーバーに返信する

上記の作業が終わったら、エックスサーバーからの通知メールに返信します。

ちなみにこんな感じでメッセージを送らせていただきました。

ご担当者さま

この度は本件お知らせありがとうございます。
サーバーID :XXXXXXX
お問合せ番号:XXXXXXX
会員ID:XXXXXXX
の、サーバ管理をしております中村和幸と申します。
ご連絡いただきました、下記作業が完了いたしました。
 ————————————————————
◆「独自ドメイン」のデータ削除について「サーバーパネル」→「ドメイン設定」より、設定中のドメイン名
すべて削除してください。※オプション独自SSL証明書が設定されているドメインに関して
「ドメイン設定」より対象ドメインの「初期化」より
「ウェブ領域・設定の初期化」をご利用ください。◆「初期ドメイン」のデータ削除について「サーバーパネル」→「ドメイン設定」へアクセスしていただき、
削除が不可能な初期ドメイン名を「初期化」してください。※「ウェブ領域・設定の初期化」をご利用ください。◆「その他のフォルダ」のデータ削除についてFTPソフトや「ファイルマネージャ」でサーバーアカウントを参照し、
アクセスした際に表示されるフォルダが以下のみになることを
ご確認ください。・「初期ドメイン名」のフォルダ
・(オプション独自SSLを利用している)「ドメイン名」のフォルダ
・「ssl」フォルダ

上記以外のフォルダやファイルが存在する場合、
FTPソフトやファイルマネージャーにて個別に削除してください
————————————————————

ご確認いただき、 Webアクセス制限解除のお手続きをいたします。
よろしくお願いいたします。

エックスサーバーからアクセス制限解除の連絡が来る

2時間も経たないうちに、お返事をいただけました。

こういうサポートの手厚さで、エックスサーバーの評判の良さをひしひしと感じます。

中村和幸 様

平素は当サービスをご利用いただき誠にありがとうございます。
Xserver カスタマーサポートでございます。

会員ID    : XXXXXXXX
お問合せ番号 : XXXXXXXX

お忙しい中ご連絡いただき恐れ入ります。

先ほどサーバーアカウント「XXXXXXXX」における
WEBアクセス凍結を解除いたしました。

再度ドメイン設定やデータのアップロード等
行っていただければと存じますが、WEB凍結時点でのデータから
【不正ファイルとして検出されたものだけ】を削除して
再度アップロードすることはお避けください。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
※ 1~2ヶ月以上前に取得したようなバックアップデータも
脆弱性を孕んでいる可能性が高いため、利用はお控えください。

不正アクセスが確認された時点のデータを再度アップロードされますと
また同じ問題が発生する可能性が【極めて高い】ものでございます。

改めて【クリーンなデータ】を用いて
WEBサイトの再構築を行ってくださいますようお願いいたします

※ 再アップロードの際はWEBサイト作成時などの、改ざんの疑いのない
クリーンなデータを用いていただくか、各ファイルを1つ1つ
  地道に不審な部分がないかをご確認いただいた上で
  アップロードを行ってくださいますようお願いいたします。

特に、WordPressのプラグインやテーマに関しては
必ず最新バージョンをダッシュボードから新たにダウンロードしたものを
ご利用いただくようお願いいたします。

※ 長らくアップデートされていないものは利用せぬようご注意ください。

万一、また同じ問題が再発した場合などは
より長期のWebアクセスの制限などを実施することとなりますの
十分ご注意くださいますようお願い申し上げます。

なお、ドメイン設定の追加後にアクセスが可能となるまで
最大1時間程度、反映にお時間がかかりますのでご注意ください。

ご不明な点がございましたら、お気軽にお問い合わせください。

何卒よろしくお願い申し上げます。

復旧面倒だから、丸ごとアップロードしようかな。という目論見はここでも見事に打ち砕かれています。

[chat face=”nakamura.jpg” name=”中村” align=”left” border=”none” bg=”gray” style=”maru”] 「絶対にそんなことするんじゃないぞ!」そんな意気込み?すら感じるメッセージ。[/chat]

ということでここからの手順を整理すると、

  • 使うドメインだけを再度登録する
  • ワードプレスをエックスサーバー経由でインストールし直す
  • テーマもダウンロードしてインストールし直す
  • 画像ファイルは1つ1つチェックしてからアップロード
  • ログイン情報(wp-config.php)をアップロード

、、、と大体こんな感じかなと思います。

復旧の手順

使うドメインだけを再度登録して→ワードプレスをインストール

ドメインの登録は、こちらをご参照いただければと。エックスサーバーにドメインを登録して、ワードプレスのインストールまでを済ませておきます。

***

  • ドメインをとってワードプレスをインストールしただけのもの
  • 今は使っていないテストサイトのドメイン

これらのものは復旧の手間を省くのと、セキュリティ対策もおろそかになるので、この際捨てることにしました。

***

あれ?アクセス制限をかけられる前のログイン情報は?データベースはどうなるの?と思いましたが、、、

  • ログイン情報→バックアップしたデータ(wp-config.php)をサーバにアップして上書きする
  • データベース→今回の一連の作業では、以下のメールの通り何も影響は受けていない模様。

バックアップしたデータ(wp-config.php)をサーバにアップすれば元々のデータベース(記事や設定情報)を読みに行くので大丈夫。という仕組みのようです。詳しくはこちらのサイトがとても親切かなと。

必要最低限のデータを再アップロード

まずは一番分かりやすい写真・画像データをアップロードしていきます。

手順はこちらの図の通り。

デフォルトの設定だと、年月毎にフォルダ分けされて画像ファイルが格納されていますので、このフォルダを1つ1つ覗いて変なファイルが無いことを確認した上でアップロードします。

*アップロードする前に、1つ1つ目視で確認したほうが良いです

あれ・・・?画像しかアップしてないはずなのに、なんでここにテキスト(phpファイル)があるんだろう???

わお!

・・・みたいなトラップも仕掛けられていました(汗)油断も隙もありゃしません。

画像のアップロードが終わったら、順次次の作業を行います。

ワードプレステーマのインストール・有効化

こちらも公式サイトから最新版をダウンロードし直してください。バックアップしたデータをそのままアップロードするのは危険です。

後述しますが、いたるところにトラップが仕掛けられていました。

プラグインのインストール・有効化

同様に、こちらも公式サイトから最新版をダウンロードし直してください。バックアップしたデータをそのままアップロードするのは危険です。

  • コンタクトフォーム
  • インスタグラムフィード
  • アドクイックタグ

など、各種設定情報は別のところで保存されていたようなので、プラグインを新しくインストールし直せばそのまま元通りになると思います。

ログイン情報のアップロード

これまで書き貯めた記事は?設定情報は?という心配が最後まであったのですが、バックアップしたデータにある、wp-config.phpをアップロードすると元通りになります。

(↑アクセス制限がかけられた直後にエックスサーバーから届いたメール)

どういうことかと言うと、

  • 記事や設定情報は、データベース(MySQLかな)に格納されておりこちらは別で保管されている(今回無傷)
  • MySQLを見に行く設定情報(wp-config.php)だけをアップロードし直せばOK。

という仕組みみたい。

XXXX.com→public_htmlの中にあります。

・・・とやりたいところなのですが、このwp-config.phpファイルも念のため中を覗いて変な記載がないかを確認したほうが良いです。

ワードプレス初期設定時には無かった謎の記載がこんな風に・・・

ほんとに、至るところがトラップだらけです。(サイトによって被害の大小が違っていた)

きれいな方のwp-config.phpファイルと見比べて、

・謎の記載を削除してからアップロードする

または、

・データベース接続情報、認証キーの部分だけをコピペしてあげる

どちらかの方法が良いかと思います。

phpファイルを上書きする際は、ウィンドウズのメモ帳ではなく、別のテキストエディタを使ってください。

私はTeraPadを使っています。

ここまでやればサイトはほとんど元通りになっているかと思います。

あとは、

  • SSL設定
  • セキュリティ対策の強化
  • ログインidやパスワードのリセット

などを行いましょう。こちらが参考になるかと思います。

ワードプレスのインストールフォルダを「XXXX.com/wp」にしてあるので「XXXX.com」で表示させたい!

ここも意外とてこずった部分です。

「ワードプレス ディレクトリ直下」で検索するといろいろやり方が出てくるのですが、

こちらのサイトが一番分かり易かったかな。

まとめ

初めてのことで勝手が分からず、思ったよりも時間を要してしまいました。また、同じサーバーで管理していた複数サイトが同時にやられてしまったので、この数日間で10サイト近くを復旧させることに・・・

おかげでどこがどういう仕組みで動くのか、とても勉強になりました。

[chat face=”nakamura.jpg” name=”中村” align=”left” border=”none” bg=”gray” style=”maru”] またニッチなスキルを身に付けてしまった・・・[/chat]

1サイトの復旧であれば数時間あれば次は行けそうですが、バックアップは強固にやっておくのが一番ですね。

もし、同じような環境で復旧に困っている方がいれば、こちらのフォームよりご相談いただければと思います。有料にはなりますが、ご相談に乗れるかなと!

自力でやりたいんだけど、分からない!という方は、サーバーのサポートに問合せするのがいいと思います。時間はかかるかもですが、こちらまでツイートいただければアドバイスできるかもしれません。。。

ちなみに中村が使っていたサーバーはエックスサーバー今回の一件で、いかにバックアップ・サポート体制が充実しているか、そのありがたさをひしひしと感じました。

無料ブログから引っ越ししたい!ワードプレス使ってるけど今のサーバーは反応が悪いから乗り換えたい。そんな人におすすめです。

目次