最近の記事

要注意!あなたのブログが改ざんされているかも?その手口について解説します!

世界中にはたくさんのCMSが存在します。
その中で最も有名と言っても過言ではないWordPress。
実際この「ネッログ」もWordPressを使用して運営しています
ですが世の中完全にハッカーの侵入口の一つである「脆弱性」をなくすのは非常に困難です。
そのWordPress(以下WP)のプラグインやテーマなどで見つかった脆弱性をついて侵入してきたであろうハッカーが実際にとった挙動について解説していきます

引用元

注意!あなたのWordPressも狙われている!?侵入手口と挙動について
(この記事はCyberRexさん本人に許可を頂いて執筆しております)

実際に被害にあわれた方

その方はWPでブログをたまに書いておられる方で、ある日突然Googleからメールが届いたそうです。
確認するとブログのトップページの姿は無く、真っ白な空白のページだったそうです

改竄されるとどうなるのか

↑改竄前のページ(Googleのキャッシュを使用)
↑改竄後のページ

ページが真っ白に変わっています。
ページのソースを見ても本当に何もかもなくなっています

侵入経路

今の所不明です
おそらくWPのプラグインやテーマの脆弱性を突きXSSを利用してPHPコードを実行して改竄等されたとだと思われるそうです

書き換えられた場所

  • /wp-load.php
  • /wp-blog-header.php
  • /index.php
  • /wp-content/themes/twentyfifteen/inc/index.php
  • /wp-content/themes/calliope/inc/index.php

が不正に書き換えられた箇所として現在見つかっています

何をされた?

.本来のWPのindex.phpには無い機能が追加されていました

  • 偽のサイトマップをGoogleなどに返す機能
  • ハッカー側がハッキングを完了したことを確認するために自らをGoogle検索してハッキングされているかを確かめる機能
  • botには普通のサイトのように見せかける機能

等が追加されていたようです

ということなのでSite:(被害にあわれた方のサイトアドレス)でGoogle検索すると

このような文字がタイトルの下に表示されます
また当然Googleが検知したわけなのでSearchConsoleに紐付けられたメールアドレスにも通知が行くようになっています。今回被害にあわれた方はそのメールで気づかれたようです。

おそらくWPを使かっている方なら知っておられるかと思いますが、「Twenty Fifteen」をいうテーマがありますよね?
あれが一番危ないです。
こちらのスクリーンショットを御覧ください

詳しい方なら見ただけでおわかりかと思いますが、これはハッカー専用のファイルブラウザです
このファイルブラウザでハッカーは勝手にファイルをアップロードしたり、権限を自由に操ることができるそうです
それだけではなく、ローカルコンピューターへのアクセスも可能にしてしまう恐ろしいものです

WPを使っている方がやるべきこと

まずは必ず最新バージョンのWordPress、プラグイン、テーマを使ってください
できれば脆弱性診断プラグインや外部でやってくれる診断サイトなどを使用してください
自動プラグインなどのアップデートプラグインを使うのもいいでしょう(そのプラグイン自体に脆弱性がある可能性があることを忘れないでください)

さいごに

こちらの記事はCyberRexさんに許可を取って記事を作成しております。
何かありましたら、お問い合わせフォームよりご連絡ください