WordPress改ざんの種類

1,459views/2013-09-19

wp-config.php だけが問題のように認識される人がいたりしますが、
改ざんの種類は2種類あって、このWordPressの改ざんは 2. です。

【WordPress改ざんの種類】
1. wp-config.phpかつMySQL DBまで書き換えられる
2. <?php?>記述箇所がパーミッション600以上(オーナー書き込み)

WordPress改ざんその2

このphp記述箇所の改ざんはwp-config.phpだけではありません。
プラグインやら、テーマやら、もちろんWordPressの他の基礎ファイル全てのphp記述箇所が問題なのです。

万全を期すにはやはり404パーミッションにするのが一番良いです。
WordPressのアップデートは管理画面からできなくなりますし、プラグインのアップデートも出来なくなります。

wp-config.phpだけ治せば良い訳ではありません。
このSERPs(検索結果)からのリダイレクト問題はwp-config.php以外もほぼ全ファイルやられてます。全部のPHPファイルを開いて見ればわかりますが、<?php?>の箇所にあの忌々しい改ざん文字があるはずです。そして、有効化されているプラグインや有効化しているテーマにその改ざん箇所が1箇所でも含まれいると検索結果からリダイレクトされるという印象です。

1.のDB乗っ取り改ざんは、すぐわかります。
ブログタイトルが「Hacked by Krad Xin」BD GREY HAT HACKERSと変わったりしますので。
コンテンツも言語が換えられ、普通に閲覧しただけでも改竄とわかります。

しかし、
2. の改ざんは気づけません、普通。
WordPressの投稿もできるし、画像もアップできるし、閲覧はされるし。でも、検索結果をクリックするとリダイレクトされて自分のサイトに来てもらえないという極めて厄介な改ざんなので、なかなか気づけません。

一度改ざんされたファイルの改ざん箇所を治してアップロードだけで満足してしまっていたりする人もいますが、数日でそのサーバーであればまた殺られます。殺られるというよりもクローラーのようにアタックを仕掛けている感じなので、ドメインが同じなのですぐ標的になる感じです。

WEBスキルアップ君の場合、

ロリポップで改ざん《パーミッション644》

改ざん箇所を全ファイルクリーンにして修正《パーミッション644》

ロリポップまた改ざん(翌日)《パーミッション644》

エックスサーバーに移転《パーミッション644》

エックスサーバーで改ざん(約1週間)《パーミッション644》

仕方ない404で運用しよう《パーミッション404》

こういった流れです。なので、サーバーを移転したからという条件は全然当てになりません。もちろん、そのようなアタックを防いでくれるサーバーであれば問題ないでしょうが、日本で有名なこの2社でも防げない訳ですから、WordPressは一旦考え方を404で運用して、WordPressアップデートは面倒ですが、アップロードした画像やテーマや使っているプラグインをローカルに保存した後にWordPress基礎ファイルをアップロードして、バージョンアップする方法でやるという安全策もあると思いますし、そうしています。

要は、PHPが600パーミッション以上であると<?php?>記述の箇所が何か書けちゃうという事ですが、パーミッション404であれば防げるのです。なので、WordPressだろうとFTPでアップロードした.phpファイルだろうと<?php?>記述の箇所が改ざんされます。しかも、.htmlファイルでもPHPのHTML埋め込みをしてPHPを機能させていたサイトも改ざんされていたので、.htmlという拡張子だろうが.phpだろうが関係なくPHPが機能し、かつ<?php?>記述の箇所はイケちゃ得る事になります。WordPressというだけでなく全ファイル的に<?php?>600パーミッション以上で何か書き換えられるところないかな〜と徘徊している感じです。

また、400じゃなくて404なのは、その他の読み込みがチェックされている状態で、404じゃないと機能しない.htaccessなどのファイルもあるので400じゃなくて404で統一的に考えるのが良いと思います。

[追記]
多分全部全部をパーミッション404と勘違いしている人がいるので、追記です。
フォルダは711とか755とかPerlとかCGIとかは所定のパーミッションですよ。
要は、のところで書いたようにPHPが600パーミッション以上であると<?php?>記述の箇所が何か書けちゃうという事のファイルです。.htmlでもPHP埋め込みしてたところは改竄されたと書いたようにそういったファイルレベルの改竄のされる可能性がある<?php?>箇所があるところの話です。505パーミッションで大丈夫でしょうか?とかディレクトリフォルダまで404にしたらそれはサイト閲覧もできませんよ。画像のアップロードもできません。<?php?>記述箇所があり、かつ600パーミッション以上のオーナー書き込みがある場合、改竄できてしまうという可能性がある、これを理解できればです。

1,459views/2013-09-19

関連おすすめ記事

ページURL