運営しているWordPressのブログの中で放置状態にあるサイトが2月に脆弱性の攻撃を受けて記事が改ざんされていました。
自分で認識できる改ざん被害はWordPressでブログを運営するようになって5年以上経ちますが初めてです。
改ざんされた記事
改ざんされた記事は、タイトルに下記のように「Hacked By」という文字が設定されていました。
Hacked By SA3D HaCk3Dというタイトルに改ざんされた記事についてWordPressの投稿編集画面で見てみると下のような感じ。
画像のリンク先は
zonehmirrors.org/defaced/2015/11/14/demilosightings.com/kurdistantour.net/uploads/
statics_image/kurdistan_flag_waving.gifとなっています。
もう1つのHacked By Unknownという記事はただ一行「Hacked By Not Matter who am i ~ i am white Hat Hacker please update your wordpress」と書かれた記事に成り下がってました。
WordPressのサイトが改ざんを受けた日時
今回改ざんされていた記事2つについて、更新日時を確認してみると2月5日と2月7日となっていました。
そこで、ネットで同じような症状が発生していないか調べてみると情報がありました。
上記記事では改ざん被害にあったサイトをいくつか紹介していますが、その中で丸川珠代五輪担当大臣の公式サイトが改ざん被害にについては何かのニュースで見た記憶がありましたが、自分には関係ないと当時はスルーしていましたが、実際には被害を受けていたわけです。
いまだ多くのサイトが改ざんされたまま
Googleで私と同じように記事のタイトルが「Hacked By SA3D HaCk3D」と改ざんされたサイトを検索してみると、下記のようにずらっと表示されます。
1番上の会計事務所のHPを見てみると、当然問い合わせ先の電話番号やメールでの問い合わせも可能になっているのですが、誰も改ざんについて指摘していないのでしょうか?
復旧
放置していて殆どアクセスもないサイトですが、改ざんされた記事がトップ画面に表示されている状態はまずいので復旧作業を行いました。
復旧といっても、改ざんされた記事のリビジョンを1つ前の状態に戻しただけです‥
手順としては、リビジョンの表示部分を選択すると、1つ前の状態と比較が出来るようになっているので、1つ前の状態が改ざんされた状態になっていないか確認して、そのリビジョンに戻すということを行います。
使っていたWordPressのセキュリティ関連プラグイン
今回攻撃を受けて改ざん被害にあったWordPressのサイトには、SiteGuard WP Pluginなどメジャーなセキュリティ関連プラグインは導入していました。
SiteGuard WP Pluginではログイン履歴を確認できるのはもちろん、ログインがあった際にメールが送信されます。
また、WordPressのログインをユーザ名やパスワードの入力以外に下記のように「ひらがな」での認証も追加できます。
ひらがなでの認証を追加することで海外からの攻撃に対して防御力を高めることが出来ると考えて設定しています。
ただ、今回の攻撃に対してはこれらの設定は威力を発揮することは出来ませんでした。
ログイン履歴を確認しても、怪しい履歴はありませんでした。
WordPressのサイトはメンテナンスや管理が重要だけど面倒・・
今回の攻撃についてはWordPress自体の脆弱性をついたものなので、WordPress自体の更新を怠っていたのが原因なわけで、セキュリティ系のプラグインを入れていても防御は出来ません。
こういった管理面がWordPressでブログを運用する上で面倒なところなんですよね。
それに対してはてなブログなどのレンタルブログサービスは、サービスがいつか停止するというリスクはありますが、セキュリティについては自分で何か責任をもって行うことは基本的にないのでコンテンツ作成に集中できます。
