ウイルス感染!!バックアップなしからのワードプレスサイト復旧完了!!

この記事は約7分で読めます。

P_20160606_194511

ワードプレスでサイト制作を始めて3年以上経ちましたが、
バックアップを取ったことがありませんでした。

ワードプレスの更新もしたりしなかったり。。。
テーマが変わっちゃうからむしろあえて更新してなかったくらい。

バックアップ取ったほうがいいのは分かってるけれど、
いままで特にトラブルもなかったし、
なんとなく後回しになっていたところが・・・・

ウイルス感染!!!!
トロイの木馬が検出!!

セキュリティソフトの警告でサイトが開けない!!!!

さらに、
サーバーを借りているロリポップからは

禁止事項にある1時間あたりのメール送信件数の上限を超過しておりますので、
現在、WEBサーバーからのメール送信を制限しております。

というお知らせメールが!!!
もちろん、一時間に300件以上のメールを送ってなんかいません。
ウイルスの影響みたい・・・。

とりあえず、ロリポップに連絡しました。
「メール送ってないです~ウイルスに感染してるみたいです~」
すると、翌日回答が。

今回お問合せいただいた件について調査いたしましたところ、
ご利用のサーバー上に不審なファイルがアップロードされていることを
確認いたしましたので、以下の対応を実施いたしました。

・不審なファイルのパーミッションを「000」に設定

不審なファイル一覧はテキストファイルに記載し、ご利用のサーバー上に
アップロードいたしましたので、ご確認をお願いいたします。

■不審なファイル一覧を記載したテキストファイル
2016061617_lolipop.txt

※60個の不審ファイルが検出されております。

なお、今回検出された不審ファイルについては、
WordPressのログインページよりアップロードが行われているようでございました。

そのため、不審ファイルのアップロードにお心当たりがない場合は、
お客様のWordPressの管理ページヘ第三者による不正なログインが
行われている可能性がございます。

改ざんを放置した場合、お客様のサイトが表示されなくなるだけでなく
サイト閲覧者のウイルス感染や、サイバー攻撃の踏み台にされ
犯罪を引き起こす等の可能性が非常に高いため、必ず下記の対応を行ってください。

1.ご利用のパソコンのウイルスチェックを行う
2.FTP・WebDAVパスワードを変更する
3.CMSツールをご利用の場合は、パスワード変更とバージョンアップを行う
4.サーバー上のファイルをクリーンアップ(不審なタグの削除等)する
5.対応完了の旨をロリポップ!へ連絡する(弊社にて確認を行います)

このメールを見て、
初め私は、あ~ロリポップさんが対策してくれたんだ~良かった
と思ってしましました。
検出された60個のファイルを消したらいいのかな?なんて思ったのは大きな間違いでした!!

とりあえず、1~3までの対策、パソコンのウイルスチェックと
パスワード変更、ワードプレスのパスワード変更、バージョンアップ
を書いている通りに行いました。

そしてサイトを再確認すると、
ウイルス検出はされないけれど、
そもそもページが開かない!!!
PHPエラーが沢山でてきました。

エラーの原因を調べていると、
どうやらロリポップさんがしてくれた
・不審なファイルのパーミッションを「000」に設定
が原因のよう。

とりあえず、000→755に戻してみたところ、
エラーはなくなりましたが、再びウイルス検出!!

そう、やっと気が付きました。
不審なファイルとは不必要なファイルではなく、
必要なファイルにウイルスが入っているということ。
不審なファイルを読み込まないようにロリポップさんが
変更してくれたのはいいけれど、
そしたらサイトみれないじゃん!!!!

やばい、早く対策しないと、
ロリポップ側からサイト消されてしまうのでは・・・・
という恐怖が・・・。

でもPHPも詳しくないのに、ソースを全部調べて
不審なソースだけ消すなんて無理だよ・・・・・

でもやるしかないのかな・・・必要なソースやファイルを消してしまう恐れがある為
とりあえず今更でもバックアップを取ることに。

バックアップは
FFFTPで取ろうとしたところ、
やったら時間がかかる。エラーが出まくる。

そこで、ロリポップのバックアップオプション
付けることにしました。
月額300円かかりますが、初めの10日間は無料なので
この期間内にどうにか復旧できますように・・・。

とにかくいろいろ検索しまくったところ
まず、この方のブログを参考にさせていただきました。
復旧完了!WordPressサイトがマルウェア(ウィルス)に感染し、Googleからアクセス拒否、レンタルサーバーからウェブアクセス凍結のお知らせ。

この記事によると、バックアップを取った後、
WordPressダッシュボードのツールよりxmlファイルをエクスポートした後、
一度サーバーからファイルをすべて消して、
ワードプレスを再インストールして、xmlファイルをインポートするとのこと。

この方法もやってみましたが、
子テーマの設定とかよくわからないし、
インポートする際にファイルが大きすぎてエラーが出たり、
xmlファイルだけでは復旧できない部分も多く
手書きでメモするところも沢山必要です。

あれこれやっているうちに
もっと簡単で良い方法にたどり着きました。

参考にしたのはこの記事
消してしまったWordPressのサイト、まだ復旧できるかも?!

ワードプレスはデータベース上に記事データなどが入っているため、
ファイルを消してもデータは残っているのです!!

だから、ウイルスが入っている可能性があるファイルは一度全部消して、
ワードプレスを再インストール後、
参照先のデーターベース名を戻して画像を再アップするだけ
かなり復旧できます!!!※もちろんテーマやCSS等は再設定の必要があります。

データベース名を戻すのは超簡単!
直下にある設定ファイルwp-config.php

/**
* WordPress データベーステーブルの接頭辞
*/
のところの名前を変更するだけ!!
※パーミッションは400になっているので一度755などに変更後、
書き換えて400に戻しましょう。

その名前を調べるためには、
通常phpMyAdminから調べなければいけないみたいなのですが、

ロリポップの場合はここに書いてあります!!

■ WordPressインストール履歴-テーブルの接頭辞(赤丸のところです。)全画面キャプチャ 20160622 104558

あと忘れてはいけないのは、
画像をバックアップデータから戻しましょう。
この中に不審なファイルが残っていないかざっと確認後、
バックアップオプションを付けていたのでボタン一つで戻せます。

ちなみに画像が入っているのは
wp-content/uploads/の中です。

これでサイト復旧に成功しました!!
でもウイルスは本当に消えたのかな・・・と不安になったので
ロリポップにも復旧完了メールを送ったところ

お客様のサーバー上のデータを確認いたしましたところ、
不審な記述が行われているファイルは存在いたしませんでした。

ご対応いただき、誠にありがとうございました。
これからもロリポップ!をよろしくお願いいたします。

やった~!!
ウイルスやっつけた~!!サイト復旧できたし、
ワードプレスの知識がかなり上がった気がする!!!

ちなみに、
途中でワードプレスが再インストールされないという不具合がありましたが、
それはPHPのバージョンを上げると解消されました。
ロリポップでは管理画面の
WEBツール>PHP設定
というところからバージョンを選べます。

三年間放置していたら、バージョンが2つも上がっていました。
ここもときどき見なければいけないなと学びました。

最後に、
今回の事件を教訓に、バックアップを取らなければいけないかを
検討中ですが、でもとらなくても元に戻せたし・・・と逆に思ってしまうようにもなりました。
データーベースデータ+画像データさえバックアップ取っておけば
あとはなくてもいいのかな・・・と思っています。

スポンサーリンク
この記事を書いた人
atsuko

在宅で民泊ホストやWEBやチラシなど制作・管理・ライティングなどがお仕事。作曲家の夫と3歳と6歳の姉妹と共に福岡県久留米市在住。2009年、WEBデザイン技能検定2級取得。2012年8月、第77回ピースボートに乗船し地球大学受講。2015年〜民泊サイトAirbnbのスーパーホストのステータスを10回以上獲得。2018年、電子書籍と紙で「おっぱいのすべて」を出版。グリーンコープの組合員歴6年、グリーンコープの福祉委員と基金運用委員歴3年、現在副地域委員長を務める。

ブログ
スポンサーリンク
イエカラ

タイトルとURLをコピーしました