ワードプレスがハッキングされました

相談内容

  • Googleからハッキングされたとメールが届き、どうしたら良いのかわかりません
  • mixhostからスパムメールの踏み台にされているから対処して欲しいと警告を受けた
  • スケジュールを切られて対応しなければサーバー契約を解除されてしまう
  • Google Search Consoleから届いたメール
貴サイトが第三者によりハッキングされ、一部のページで不正なコンテンツが作成されたことが検出されました。
これは重大な問題であり、貴サイトの評判を利用して貴サイトや検索結果で予期しないコンテンツや有害なコンテンツをユーザーに表示するものです。
また、この問題により Google 検索ユーザーの検索結果の品質も低下します。そのため Google では、手動による対策を貴サイトに適用いたしました。
この対策では、貴サイトが検索結果に表示されると、ハッキングされたコンテンツに関する警告をユーザーに表示します。
この警告を削除するには、ハッキングされたコンテンツを修正し、再審査リクエストを申請してください。
ハッキングされたコンテンツが貴サイトに含まれていないことを確認できた場合は、この手動による対策を解除させていただきます。

下記は、セキュリティが侵害されたページの URL の一例です。
こうした例を確認し、ハッキングされたコンテンツが表示される場所を把握してください。
このリストはすべてを網羅したものではありません。

--ドメイン--/docs/4q320.php?vzyj=4.7-ohm-1-watt-resistor
--ドメイン--/docs/4q320.php?vzyj=cmo
--ドメイン--/docs/4q320.php?vzyj=hindi-music-ringtone

解決までの経緯

  • 滅多にないことだけど、やられるとどうしていいかわからなくなります。
    データがなくなったり、他人に迷惑かけたりと1日でも早く対応が必要です。
  • サーバーを調べたところ、WordPressと関係ないファイルが大量に置かれていた
  • 何をされたかわからないため、WordPressの再構築と可能な限りデータ移行を提案
  • コストを掛けたくないとのリクエストがあったためサポートのみ実施
    → 幸いなことにプラグインは数件、テーマのカスタマイズは0だったのでサポートで可能と判断
  • サポートの流れ
    → お客様に対応いただいたので裏で逐一サーバー側でうまくいっているか確認を行う
    • 既存ディレクトリの退避
    • WordPressの再インストール
    • 記事のエクスポート/インポート
    • テーマ・画像をダウンロード/アップロード
    • 既存ディレクトリの削除

対応期間、一言

  • 両者メッセージ送信のタイミングがよく半日程度で完了
  • 初めてのハッキング案件、おそらくxmlrpcへの脆弱性などをつかれたみたいだった
  • 予防は大切。各ファイルの権限や管理画面のセキュリティ向上プラグインなどはやっておくに越したことはないと感じた案件だった