セキュリティはWordPressサイトオーナーにとって大きな関心事であり、それは当然のことです:WordPressサイトに対するサイバー攻撃は毎時750万件以上発生しています。当然のことながら、WordPressはオープンソースの性質と柔軟性により、さまざまな攻撃に対して脆弱である。しかし、WordPressチームはアプリケーションの構造的完全性を維持することに専念しているため、そのコアは非常に安全である。しかし、同じことがすべてのWordPressテーマやプラグインに言えるわけではありません。
最近、SucuriのJohn Castroによってマルウェア攻撃が発見された。このマルウェアは、脆弱なWordPressテーマのheader.phpファイルの先頭に10-12行のコードを配置し、訪問者を悪意のあるサイトにリダイレクトさせる。
この記事では、この攻撃の詳細と、今後このような攻撃からサイトを守るためのヒントを紹介する。
マルウェア攻撃の仕組み
前述したように、このマルウェアはアクティブなWordPressテーマのheader.phpファイルの先頭に10~12行のコードを配置する。コードは以下のように表示される:
このマルウェアは、最初の訪問時に訪問者をdefault7 .com(最終的なリダイレクト先ではない)にリダイレクトする。その後、「896diC9OFnqeAcKGN7fW」クッキーをセットし、1年間リピーターを追跡し、検索エンジンのクローラーをテストします。クローラーがいなければ、ユーザーエージェントヘッダーのチェックに進む。
リダイレクトは誰にとってもランダムだ。さらに、default7 .comは最初のリダイレクト先に過ぎません。訪問者はさらに以下のドメインにリダイレクトされます(IPアドレスとブラウザによって異なります):
- test246 .com
- test0 .com
- 明瞭な祭り .com
- ableoccassionドットコム
特に興味深いのは、Internet Explorer上でのマルウェアの挙動である。閲覧者がインターネット・エクスプローラーを使用すると、悪意のあるFlashやJavaのアップデートを提供するサイトにリダイレクトされる。
フェイスブックでは、もうひとつ興味深い挙動が見られる。Facebook上で感染したサイトのリンクを共有すると、別のサイト(5つのリダイレクト・サイトのうちの1つ)からの投稿スニペットが表示されることがある。あなたのサイトからマルウェアを削除した後でも、フェイスブックは人々を悪意のあるサイトにリダイレクトします。これはキャッシュが共有されているためです。キャッシュはここでリセットできます。
ハッカーがWordPressの管理インターフェイスにアクセスすると、この種の感染症がよく発生すると聞いて驚くかもしれない。正しい認証情報があれば、彼らはテーマファイルを(かなり簡単に)編集することができる。
どのサイトが感染しているのか?
感染したサイトにおけるマルウェアの脅威は、実は最近のエクスプロイトだけではない。ほとんどの場合、感染したサイトには複数のセキュリティ脆弱性があり、その結果、他の多くの感染が発生していた。テーマのheader.phpファイルにのみ感染が見つかったサイトは少数派であった。
マルウェアの検出方法
マルウェアのコードに欠陥がないわけではない。つまり、存在しないパラメータをテストすることが多く、その結果PHPエラーが発生する。PHPの通知をオフにしているサーバーもあるため、エラーは常に表示されるわけではないが、Googleで"Notice:とGoogleで検索してください:6FoNxbvo73BHOjhxokW3 "でGoogle検索すると、サーバー上のマルウェア・コードが見つかるかもしれません。
Sucuriは、一部のGoogle検索結果でテーマのフッターファイルにエラーが見つかる可能性があることを共有した。これは、マルウェアが以前にfooter.phpファイルに感染し、それらのファイルの先頭に同様のリダイレクトコードを配置したためである。攻撃はheader.phpファイルに移動し、footer.phpファイルにマルウェアのコードがあったサイトに再感染した。マルウェアが更新されても、リダイレクトは訪問者をまったく同じページに送る。
マルウェアの除去方法
マルウェアの除去は、WordPressの専門家に相談したほうがよいかもしれない、複数のステップを踏むプロセスです。セキュリティの経験が浅い場合、事態を悪化させる可能性があります。当社のSemper Fi Web DesignチームのようなWordPressを専門とする企業であれば、セキュリティに関するあらゆる懸念に対応することができます。
しかし今は、このような攻撃からサイトを守るために一般的にできることを見てみよう。
WordPressサイトを安全に保つ方法
WordPress管理画面の保護
WordPressの管理画面は犯罪者にとっての金鉱です。したがって、可能な限りアクセスを制限する必要があります:アクセスする必要がある人だけがアクセスできるようにする必要があります。どのような場合でも、header.phpファイルを変更するすべての人の能力を制限する必要があります。
最近のリダイレクト攻撃で見られたように、サイトの管理者権限を持つハッカーは、テーマのheader.phpファイルに直接簡単に変更を加えることができます。wp-config.phpファイルを調整することで、ユーザーが管理インターフェイスでPHPファイルを編集する機能を簡単に無効にすることができます。以下のコードをコピーして、wp-config.phpファイルに貼り付けるだけです:
# テーマ編集を無効にする define( 'DISALLOW_FILE_EDIT', true );
管理インターフェイスを安全に保つためのその他のヒント
- 強力なパスワードを使用する
- すべてのパスワードを定期的に変更する
- ログイン試行回数の制限
- 偽の管理者アカウントが作成されていないか確認する。
- 管理者ユーザー名に "admin "を使用しないでください。
- 二要素認証を有効にする
WordPress、テーマ、プラグインを最新バージョンにアップデートする
WordPressとすべてのテーマ、プラグインを最新バージョンにアップデートすることは非常に重要です。機能性の向上だけでなく、ほとんどのアップデートはセキュリティ上の懸念や脆弱性に対処するために提供されます。
コンピュータにウイルスやマルウェアがないことを確認する
あなたのサイトをマルウェアから守るために講じた予防措置も、あなたのコンピュータにウイルスやマルウェアが含まれていれば、すべて無効になってしまいます。なぜなら、ハッカーがあなたのコンピューターからサイトのログイン情報にアクセスし、素早くサイトに感染させる可能性があるからです。したがって、WordPressサイトにログインするために使用するすべてのコンピュータに、優れたウイルス対策プログラムをインストールすることが重要です。
私たちの多くは、多くの理由の中でも、その柔軟性のためにWordPressを愛しています。実際、最も人気のあるオープンソースのコンテンツ管理システム(CMS)です。しかし、私たちがWordPressを愛してやまない理由こそが、WordPressをサイバー攻撃に対して脆弱にしている理由なのです。そのことを認識し、サイトを保護するために必要な措置を講じることが重要だ。
AIOSEOを無料で試したいですか?
AIOSEO LiteをインストールするWordPressサイトのURLを入力してください。
情報開示私たちのコンテンツは読者支援型です。つまり、あなたが私たちのリンクをクリックした場合、私たちはコミッションを得る可能性があります。私たちは、読者に付加価値をもたらすと信じる製品のみを推薦します。
ワオ、毎時750万人、それは不愉快だ、興味深い投稿だ、アルノー、警告をありがとうᙂ 乾杯トレイシー
とても嬉しいよ、トレイシー。感想をありがとう!
役に立つ記事だ。ありがとう。
最初の攻撃ベクトルは何ですか?単純に管理者ログインアクセスを得ることでしょうか?
これを防ぐためにmodsecurityのルールを作れないだろうか?
賢くうまく設定されたmodsecurityのルールセットは、ハッカーにとってまさに悪夢だ。
自分で言うのもなんですが...私が書いたいくつかの巧妙なルールによって、私のWPサイトへのハッカーによる攻撃はこの1年で大幅に減少しました。
本当にありがとう。
こんにちは、マイク
まず最初に、コメントを残してくれてありがとう。
ハッカーたちの目的は、訪問者が他の(おそらく悪意のある)サイトにリダイレクトされるように、約12行のコードを実装することです。
しかしこれは、テーマのPHPファイルを編集できるWordPressログインへのアクセス権をすでに獲得している場合にのみ可能である。
この問題は、wp-admin経由でPHPファイルを編集するユーザー権限を無効にすることで対処できます。この機能を無効にするには、wp-config.phpファイルに以下のコードスニペットを実装してください:
# テーマ編集を無効にする
define( 'DISALLOW_FILE_EDIT', true );
さらに重要なのは、WordPressの認証情報を保護することだ。
万が一攻撃を受けた場合は、すべてのパスワードを変更し、ファイルが調整されていないかチェックし、複数の管理者がいる場合は不正な管理者アカウントがないかスキャンすることが重要だ。
WordPressのログインを安全にするためのヒントをいくつかご紹介します:
- ユーザー名 "admin "を識別しにくいものに変更する。
- ログインページのURLをデフォルトのwp-login-phpから変更する。
- 複雑なパスワードを作成する
- 一定時間内のログイン試行回数を制限する
乾杯
アルノー
攻撃者がこの方法でアクセスした場合に備えて、FTPパスワードも変更する。
素晴らしいヒントだ!
アルノー
貴重な情報をありがとう。 マイクへの回答で回避策とヒントを提供してくれたことに感謝している。 これは私にとって貴重な情報です。
おめでとう! =)
どういたしまして、ダイアナ!
つまり、パスワードでアクセスしなければならないということですね?それ以外の方法はない。パスワードのステップをスキップすることはできないのですか?
これが最も一般的ですが、サイトのファイルにアクセスする方法は他にもあります。FTPはその好例です。
All in One SEO Packと競合しないセキュリティ・プラグインはどれですか?
WordFenceは素晴らしいもので、All in One SEO Packとの互換性に問題はありません。
iTheme Securityもおすすめです。
うーん!かなり助かる。先週、危うく攻撃を免れた。
有益な投稿をありがとう!無料テーマやプラグインの使用には注意が必要だと思います。
サーバーアカウント上のすべてのサイトのheader.phpに注入されるスクリプトがあるため、この投稿を見つけました。数日おきにheader.phpをチェックして、その上にあるテキストのブロックを削除しなければならない。耐え難いことだ!スクリプトが削除されないと、Googleや他のセキュリティ・スキャナーは、削除されるまで数日間そのサイトをブラックリストに載せ、Googleに再スキャンを依頼する。ランキングを台無しにしています!
今のところ
1.すべてのWPコアファイルを削除し、最新バージョンのコアファイルを再アップロードしました。
2.使用していないプラグインを削除。
3.すべての/uploadsディレクトリの.phpファイルをチェック(画像しかないはずなので)。
4.管理者ユーザー名を変更。
5.パスワードを変更。
6.スパムユーザーを削除。
7.FTPパスワードを変更。
8.Sucuriプラグインをインストールし、すべてをハード化、Wordfenceをインストール、Bad Behaviorをインストール。
どのセキュリティ・プラグインもこれをブロックしておらず、header.phpが変更されたことを警告するものさえありません。このような現象は毎週のように起こっています。
質問
1.同じプラグインなどを使用していないサイトでも、ホスティングアカウント上のすべてのサイトに同時にこのスクリプトを注入できるのはなぜですか?すべてのサイトがスクリプトを削除する必要があり、すべてのサイトがGoogleなどのブラックリストに載ってしまうので、これは最もイライラすることであり、迷惑なことです。
2.2.もし彼らがあなたのファイルに侵入し、header.phpにこのスクリプトを貼り付けることができ、あなたがそれを削除し続けていることに気づいたとしたら、彼らがすべてのファイルをいじったり、何かを削除したりするのを止められるでしょうか?
ご質問にお答えします:
1.あなたがこの記事で説明されているのと同じ問題に直面しているかどうかはわかりません。いずれにせよ、記事にコードが注入され続けるのであれば、おそらくウェブサーバー上で悪意のあるスクリプトの感染に直面しているのでしょう。すべてのサイトをバックアップし、1つずつクリーンアップし、サイトを復元する前にサーバーを完全に消去することをお勧めします。
2.彼らを止めることはできないが、ほとんどのハッカーにとって、サイトを完全に破壊したり感染させたりすることに利益はない。彼らはまだ人々があなたのサイトを訪問し、機能/情報を利用することを望んでいます。
こんにちは、アルノー、
シェアしてくれてありがとう。スパムコメントが多いのはこのせいでしょうか?
いいえ、スパムコメントはボットやブロガーが他のウェブサイトから自分のウェブサイトへのバックリンクを作ることでSEOを高めようとしているだけです。
検索エンジンはこのような欺瞞を見抜き、バックリンクの質をチェックすることができるため、一般的にこの方法はうまくいかない。
WordPressを使用している場合は、有効なコメントと無効なコメントをフィルタリングするAkismetのようなプラグインをインストールすることをお勧めします。
この話題で経験豊富な人を見つけるのは難しい、
でも、あなたは自分が話していることを知っているように見える!ありがとう
こんにちは、私のウェブサイトは数ヶ月前にハッキングされ、完全にクリーンアップしたのですが、Facebookで私のウェブサイトへのリンクを追加設定すると、初回に悪意のあるウェブサイトにリダイレクトされます。ある人から、このリダイレクトは1つのIPにつき、常に1回行われると聞きました。このリダイレクトを発生させる感染ファイルがまだあるのでしょうか?
はい、あなたのサイトはまだマルウェアに感染しているようです。 私たちはマルウェアのクリーンアップサービスを提供しています。こちらまでお問い合わせください -https://aioseo.com/contact/
素晴らしい説明だ。