つい先日、私のアフィリエイトサイトで「nav-menu.php」ファイルが外部から改ざんされるという、打事件が発生しました。

まさか、まさかの大事件だったのですが、いつ何時あなたの身の上にも起るかも知れません。

他人事だと思わず、ぜひこの記事を読んであなたのファイル改ざん対策は大丈夫か再確認して下さい。

 

◇「wp-includes/nav-menu.php」の改ざん

事の発端は先週の金曜日です。午後1時くらいに何気なく自分のアフィリエイトサイトへアクセスしたら、どうしたことがエラーになりました。

おかしいなぁと思いながら他のアフィリエイトサイトを見ると、どれもこれも全部エラーが出ます。

これは変だ、何か異常が起きている、私はすぐに調査にかかりました。

すると、以下のことが分かりました。

1.エラーが発生しているサイトは全てサーバーがロリポップ。エックスサーバーでは異常なし。

2.いくつかのサイトにはエラーメッセージが表示されている。(英文で意味不明)

3.エラー発生時刻を調べると、全て同じ時刻であった。

これはどう見てもロリポップに聞いてみるしかないと思いました。

さっそく電話サポートに問い合わせてみると・・・

何と私のサイトのデータが外部からの侵入によって一部改ざんされており、他への被害拡大を防ぐためにネットから隔離されたというのです。

では、どのファイルが改ざんされたのか?

被害にあった26サイト全て共通で、

『/*****/wp-includes/nav-menu.php』

このファイルです。

このファイルの機能や役割の説明は割愛しますが、ネットで調べて分かったのは私だけでなく多くの被害者がいることです。

ワードプレスユーザーは

●/wp-includes/nav-menu.php

●/wp-admin/includes/nav-menu.php

この2種類が標的になりやすいのだそうです。まさに私はその通り、やられてしまいました。

さて、ではどうやって改ざんされたファイルを元に戻し、アフィリエイトサイトを再開させるか。

ここから私の大苦戦が始まります。

一刻も早く復旧させないと、その間はアフィリエイト報酬が発生しません!

 

◇ファイルが改ざんされてしまったら・・・

先ほども書いたようにワードプレスを利用している人で改ざん被害にあった人は大勢います。従ってネットで探すとその対処法が複数見つかります。

改ざんされた部分を見つけ出してそれを除去するという方法です。

ただし、内容が難しすぎて私には到底やれそうにありませんでした。PHPについて勉強したこともなく、全く知識を持ち合わせていませんでしたから。

更にロリポップからの指摘では、この「nav-menu」ファイル以外にも改ざんされたファイルが存在するかも知れないというのです。それも自分で見つけて対処して欲しいと言われました。

この時点でギブアップ!自力解決は到底不可能!

正直にロリポップに無理だと相談すると、

「改ざんされる前のバックアップデータと入れ替えて下さい。」

と言うアドバイスをもらいました。

なるほど。

どれが改ざんされたファイルか調べたり、改ざん箇所を削除するのではなく、ごっそり全ファイルを改ざん前と入れ替えてしまえばいいわけです。

「そうだ!オプションで自動バックアップをつけてた!」

私はすぐにそれを思い出しました。こんな時こそ、オプションの威力を発揮しなくては!

しかし、ここで大きな問題が発生。それはファイルが改ざんされた時期が、自動バックアップした時期より前だったことです。

ファイル改ざんの時期を調べてみると、9月、10月であることが分かりました。

一方、私の自動バックアップスケジュールは1日1回になっていました。そして自動バックアップは、7回分まで保存されます。

つまり、早い話が7日前までのバックアップしか残っていないのです。11月時点では9月や10月のバックアップデータなど存在しません。

いったんは喜んだ私ですが、再び失意のドン底です。なんてこったい・・・。

 

◇救いのバックアップデータ

せっかく私でも可能な対策が見つかったのに、肝心のバックアップデータがない。私はがっくりです。

しかし、その時私は「もしや・・・」とあることを思い出しました。

実は8月に自分のパソコンのデータを外部USBにバックアップしていたのです。もしかしたら、その中にサーバーのデータも入っているかも知れない。そう思ったのです。

そこで急いでバックアップ用USBメモリーを確認してみると・・・

「あった~!!!!」

いや、思わず大声出しました。何と8月に自分のパソコンにバックアップを取っていたのです。何の気まぐれでやったのか分かりませんが、確かに8月分が保存されていました。

これならファイルが改ざんされた9月、10月より前なのでデータを入れ替えれば解決するはずです。

私はさっそく入れ替え作業にかかりました。

しかしこれ、大変時間のかかる作業となりました。全26サイトのデータをFTPサーバーで入れ替えるのです。データ量の多いファイルのアップロードにはすごい時間かかります。

この作業を金曜日の夕方から始めて、全て完了したのは月曜日の朝でした。2日半かかりました。金曜日の夜は寝ないでやりました。

そして全て入れ替えを終えて、月曜日のお昼前にロリポップに作業終了の連絡を入れました。ロリポップに不審なフィルが全て削除されているか確認してもらうためです。

もしもこの対策でもダメなら、もう完全にお手上げ状態となります。頼むから解決しててくれ!そう祈るばかりでした。

そして翌火曜日の午後。

ロリポップからメールが来ました!

『ご連絡の件についてお客様のサーバーのファイルを改めて調査しましたところ、不審な記述を含んだファイルは検出されませんでした。ご対応いただき、ありがとうございました。』

おお!

やった!

無事解決出来た!!

もう、最高に嬉しかったです。徹夜までして対策したかいがありました。

その夜私は冷たいビールで一人祝杯をあげました。

 

◇そもそも改ざんされないようにするには・・・

とまぁ、徹夜までして対策を行うハメになったのですが、そもそも改ざんされないための対策がどうだったのか?

ここに大きな問題がありました。

むろん、ワードプレスやプラグインのバージョンアップなどは気を使っています。常に最新バージョンを維持しています。ただ、サーバー側でやれる対策については全く無防備でした。

今回、ロリポップからの指摘で、いくつかの対策をサーバー側で行いました。対策方法はロリポップのサイトに載っています。大して難しいことはありません。

数分あれば完了できる対策ばかりです。これまで無関心だったことを大いに反省しました。

「まさか自分がターゲットになることはないだろう。」

この安易な決めつけは捨てることです。現に私はやられちゃいました。次のターゲットはあなたかも知れないのです。

最後に1つ。

どんな対策をやろうともデータのバックアップは必要です。ひと月に1回くらいのペースでパソコン外に保存しておくことをお奨め致します。

今回は私が先週、外部からファイルを改ざんされてしまった事件について記事にしてみました。あなたが同じ被害に合わないよう参考にして頂ければと思います。