MRRI

最近のWordpressの改ざんは、普通に改ざんファイルを削除しようとしても

削除した瞬間、改ざんファイルを復活するので .htaccess等で 自分以外のIPアドレスを制限して

自分以外サイトにアクセスができない状況にする必要があります。

同じサーバーの公開ディレクトリーにあるサイトは

全て改ざんされていると思ってよいので

サーバーの公開ディレクトリーにあるサイトは全て、自分以外のIPアドレスを制限してください。

たまに、このように制限をしても、改ざんファイルが復活することがあるのですが、

その場合、サーバーの公開ディレクトリを変えたりすれば、改ざんファイルの復活を防ぐことができるので覚えておいても良いかもしれません。

管理画面にログインしてみて、いつも通り表示されれば良いのですが…

改ざんの進行が進むと、管理画面自体、レイアウトが崩壊することがあります。

ですので、まずはwordpressの本体をダウンロードしてきます。

バージョンは、/wp-includes/version.php

$wp_version = ‘6.4.1’;

みたいに書かれているので、上記だと 6.4.1 です。

以下のURLから上記で書かれているバージョンを探してダウンロードします。

https://github.com/WordPress/wordpress-develop/tags

ダウンロードしたら、ファイルを解凍しておいてください。

改ざんされたサーバーの方に戻り、まずwp-admin と wp-includes を削除します。

ついでに、ルート内のファイル・wp-config.php 以外のファイルも削除しておいて良いかもしれません。

次に、先ほど、解凍したファイルをアップロードします。

解凍したフォルダーの中の wp-content 以外のファイルをアップロードします。

そうすれば、大体、管理画面が正常に使えるので、次は

セキュリティプラグイン、Wordfence をインストールします。

私の場合、Wordfence の スキャン機能を使って、改ざんされたファイルを探するのですが、

他にも改ざんされたファイルを探せるプラグインがあると思うので、

使い慣れたものを使ってください。

スキャンすれば、wp-content 内のプラグインやテーマの中に改ざんされたファイルがあると思うので

その改ざんされたファイルを削除します。

テーマの場合、既存のファイルに編集してコードを入れられているので、

その場合は、テーマのファイルを削除して、新しいテーマをアップロードしてください。

全て改ざんファイルが削除できたら、次はユーザーのパスワードを変更します。

できれば、ランダムパスワードで変更してください。

また、新しいユーザーが追加されてる場合があるので、見慣れないユーザーがあれば

削除してください。

それが終わったら基本終了なのですが、他にもサイトをがあるのであればIPアドレスの制限を解かずに

同じように改ざんファイルを削除してください。

全てのサイトの改ざんが除去できたらIPアドレスの制限を解除してください。

大体、この方法で改ざんファイルを削除できてサイトを復旧させることもできますが、

FTPアカウントとかサーバーのコントロールパネルのアカウントとか、いろんな所から入られることがあります。

２、３日後にまた改ざんされることがあるので、その場合は、また同じように改ざんファイルを削除してどこから入られてるかも確認する方が良いかもしれません。