「hacked by NG689Skw」WordPress改ざんの対処法

2017年2月の初めごろから，Wordpressの脆弱性を突いたハッキングが報告されています。

実は，当ブログも「hacked by NG689Skw」と改ざんされる被害を受けてしまいました。

その一連の経過と，対処法を記録しておきます。

GoogleからWordpressの脆弱性に注意喚起するメールが届く

2017年2月7日AM6時，Googleから以下のようなメールが届きました。

https://macruby.info/ の WordPress を更新されることをおすすめします

MacRuby | Enterprise ITを中心とした問題解決
macruby.info のウェブマスター様 

貴サイトが WordPress の古いバージョンである WordPress 4.7.0 or 4.7.1 を実行していることが判明しました。古いバージョンやパッチを適用していないソフトウェアは、ハッキングやマルウェアの攻撃を受けやすくなり、貴サイトの訪問者に被害が及ぶことがあります。そのため、サイト上のソフトウェアをできるだけ早く更新することをおすすめします。 

下記は、古いバージョンのソフトウェアが使用されているページの URL の一例です。このリストはすべてを網羅したものではありません。

GoogleからWordpressの脆弱性を注意喚起するメール

それで，Wordpressのバージョンを上げようとしてサイトにアクセスしたところ，最新の投稿として，「hacked by NG689Skw」というタイトルの記事が表示されていることに気づきました。

初めての経験だったため，急いで検索したところ，2月初旬から横行している，WordperssのVersion 4.7.0 / 4.7.1に内在していた脆弱性を突いたハッキングとのこと。

どう対処したらよいのかわかりませんでしたが，まずはすべてのログインパスワードを変更しました。

ハッキングにより投稿された記事を削除する

そして，「hacked by NG689Skw」という本文だけの記事をゴミ箱に移動し，削除しました。

その他の被害がないか，Googleのヘルプなどを使いながら色々と調べてみたものの，今回は，それ以外の被害は確認できませんでした。
https://developers.google.com/webmasters/hacked/

しかし，しばらくして気づいたのですが，「hacked by NG689Skw」というタイトルの記事は，新規投稿されたものではなく，私が投稿した最新の記事が編集されていたものでした。

失われてしまった投稿を復元する

改ざんされてしまった記事を再投稿するために，Googleのキャッシュを利用しました。

自分の記事がすでにGoogleにクロール済みだったため，Googleのキャッシュを表示させることで，投稿した本文などを思い出し，再投稿できました。

結論

Wordperssのバージョンは常に最新の状態を保てるようにしておく必要を再認識させられました。

たいていの場合，バージョンアップには脆弱性の改善が含まれています。逆を言えば，ハッカーは，そのバージョンアップ情報から，セキュリティーホールに勘づくこともあり得るわけで，対応が遅いサイトをターゲットにすることが容易になります。

自分のサイトが，Wordpressで構築されているサイトの一覧に登録されていることを強く意識し，常にターゲットになっているという意識で運用する必要性を感じました。

このハッキングの被害に関する件で，お尋ねになりたいことがありましたら，ぜひコメント欄でお知らせください。