[質問者001]

WordPressサイトが乗っ取られ、URLにアクセスすると、本来のコンテンツではなく、見覚えのないショッピングサイトのようなページが表示されるようになってしまいました。

FTPで、index.phpファイルを確認すると、明らかに不自然な記述（プログラムのような英語の羅列）があり、ファイルが改ざんされていることが分かりました。
すぐにこのindex.phpファイルを削除し、WordPressの公式サイトからダウンロードした同じバージョンのindex.phpファイルのアップロードを行いました。
しかし数分後に確認すると、このindex.phpファイルが、また改ざんされた状態で復活してしまいます。

/wp-admin/と、/wp-includes/の全てのファイルも、一度削除し、ダウンロードしたばかりのファイルをアップロードしてみましたが改善しません。
サイトが正常に機能せず、非常に困っております。サーバーを初期化するしかないのでしょうか？
お力添えをお願いいたします。

[WPサポート隊員001]

改ざんされたindex.phpが何度削除しても自動生成されるとのことですと、サーバー内部にマルウェア（バックドア）が潜み、外部からの命令で再生成されている可能性が非常に高いです。
ご自身での対応は少し難易度が高いかもしれませんが、感染源の特定と駆除、サイト復旧の手順を簡単にご説明させていただきます。

【ステップ1】サイトの隔離とバックアップ・エラーログの保全
1. まず、状況の悪化を防ぐため、サイトにアクセス制限をかけるか、一時的に停止（メンテナンスモード）し、外部からのアクセスを遮断してください。
2. サーバーからHTTPアクセスログやエラーログをダウンロードして、ローカルの安全な場所に保存しておきます。
3. 調査用として、感染ファイルを含む、現時点の全ファイルとデータベースを、同じくローカルに保存しておきます。

【ステップ2】感染経路の特定
/wp-admin/と、/wp-includes/は、置き換え検証済みということですので、/ルート直下や、/wp-content/、それ以外の場所にウイルスやバックドアが仕掛けられている可能性があります。
同一サーバー内のWordPress領域外に潜んでいたり、画像ファイルを偽装していた例なども報告されていますので、サーバー全体が調査対象となります。
また、再感染した場合、一度クリーンにした領域にも、ウイルスが自動生成される可能性がありますので、毎回、サーバー内の全領域に対して作業を行う必要があります。

phpMyAdminなどのツールを使ってデータベースにアクセスし、”wp_options”テーブルの”siteurl”と”home”の値が正しいか確認します。ここが改ざんされていると、リダイレクトの原因になります。また、”wp_users”テーブルに、不審なユーザーアカウントがないかも確認してください。

【ステップ3】マルウェア（ウイルス）スキャンの実行
管理画面にログイン可能であれば、以下のプラグインを利用してサーバー内をスキャンしてみてください。
・Wordfence Security
・MalCare
・Sucuri Security
・Anti-Malware Security and Brute-Force Firewall (Anti-Malware)

ただし、マルウェアがスキャン機能を妨害することもあります。
これらのスキャンで検出できない場合は、データベースやテーマ/プラグインファイル内に巧妙に隠されたスクリプトである可能性が高まります。

【ステップ4】アクセスログの解析
改ざんされた、index.phpが生成された直前時刻のアクセスログを確認してください。
不審なPOSTリクエストや、/wp-admin/admin-ajax.phpやxmlrpc.phpへのアクセス、改ざん直前に毎回アクセスされているファイルなどがあれば、注目してください。
ここに「スクリプト実行のトリガー」が隠れている可能性が高く、バックドアファイルを特定する手掛かりになります。

【ステップ5】感染源の駆除とサイトの復旧
すべてのマルウェア（バックドア・ウイルス）感染源が特定できたら、それらのファイルやコードを削除します。
WordPress本体・プラグイン・親テーマなどは、WordPress公式サイトやネットでクリーンなファイル一式が入手できますので、それらを取得しアップロードします。
それ以外のファイル、wp-config.php、カスタマイズされた子テーマ、/wp-content/uploads/などは、ローカル環境で、.php・.js・.htaccessファイルの中に不審なコード（eval、base64_decode、gzinflateなど）が含まれていないかを確認し、問題がないものだけをアップロードします。
不正ファイルをアップロードすると、何度でも再発しますので、完全にクリーンな状態を確保する必要があります。

【ステップ6】再発防止策
再発防止策として、以下をお勧めします。
FTP、データベース、WordPress管理画面の全てのパスワードを、強力なものに変更してください。
WPとプラグインを最新の状態にアップデートしてください。
必要に応じて、セキュリティプラグインの導入を検討してください。

【サーバー初期化について】
もし、これらの方法でも上手く、マルウェア（バックドア・ウイルス）の特定・駆除ができなかった場合は、レンタルサーバーに相談のうえ、一度サーバーを初期化し、WordPressサイトを再構築することになります。
手元のバックアップファイルには、不正なファイルが含まれている可能性もありますので、再アップロード前には、必ず全ファイルチェックを行ってください。

[投稿者]

投稿