2019/09/07
年末から何となくあれこれしてて放置気味だったせいもあり、チェックが甘くなってたところにタイトルにある通りやられてしまいました。
気づいたのは2017/02/11に日付変更された直後でしたが、実際にいつやられてたか?と言われるとチェックがおろそかになっていたのもあるので最長で2か月くらい気付かずに放置してた可能性があります。
sponsored link
どんな感じにやられてたのか?
赤枠で囲った部分が明らかに怪しい状態に…
英語アレルギーの自分は最初は
「ん?なんかWordPressのエラー??」
とか思っちゃいましたが、ご丁寧に「Hacked」って書いてくれてありますね。
内部的にはこんな感じで
タイトルと記事内容が書き換えられている状態です。
やられてるのは表面だけじゃなかった
クラックされたのは理解しましたが、まだこの段階では楽観視してました。
自動バックアップかけてるし、定期的に手動でもバックアップ取ってるから(サーバ上に)大丈夫でしょ!
と思って復旧しようとすると…
レンタルサーバの方もやられてた
バックアップデータ、ログイン履歴が消去されてました。
原因を推測するも…
サイトのメンテナンスを若干怠っていたとはいえ、WordPressのアップデートとプラグインのアップデートはしていたし、実は記事にしようと思ってそのまま温存されていた(さぼったともいう)ネタとしてYahoo!メールのアカウントが中国からのアクセスがある!と警告メールが来て、ログイン履歴やらなんやらを調べると怪しいことになってて、明らかに他社がログインに成功しちゃってる経験をしてたんです。
原因は単純で、捨てアカやらなんやらは共通パスワード(お試しでやってみるゲームアカウントやフリーメール関係)だったのでどっかから洩れてそれを使ってログインされたんだろう、と。
それ以来、パスワード管理アプリを導入し、パスワードもキーボード使っても入力が面倒なうえに正確に入力するのが難しいレベルの物にすべて設定し直していたのでそれが破られた可能性は限りなく低いと思います。
となると考えられるのは…
- WordPress関連のセキュリティ
- レンタルサーバのセキュリティ
このくらいしかないわけですが、改ざんや消去されたデータから考えてもどっちが先かいまいちわからず…
記事もきちんとまだ全記事確認はしていない物のおそらく最終記事の1個のみ(画像は消されず)状態だけど、レンタルサーバの方もいじられてる。
正直わからないことだらけなのでパスワードの再設定やらやれる範囲のことをやってしばらく様子見するしかなさそうです。
今回の件で学んだこと
まず、サーバにしかバックアップを取ってないっていうこと自体に前から
きちんとローカルにも保存しないとなー(いつかは…)
なんていう「いつかやろう」の甘い考えでいたところにいい勉強をさせてもらいました。
いままでのような「気が向いたときだけローカルバックアップ」は卒業し、きちんと定期的にローカルにもバックアップを取る、それと面倒くさがりなんだからそれを限りなく自動化することの必要性。
この手のことはネット上では日常茶飯事、隙があるところは常に狙われているので皆さんも
うちは大丈夫
とは思わずに気になってるところは今すぐに見直しちゃいましょう。
それと普段からちゃんとやっていた方は今後も気を抜かないようにしましょう!