自サイトがアカウント凍結されてしまったので、それを復旧するまでのお話と、復旧後の対策の話です。

1. アカウント凍結を解除してアカウント凍結を解除して
サイトを復旧させるサイトを復旧させる
(2020/3 版)(2020/3 版)
2020/11/28(⼟)
アルム＝バンド

2. ⾃⼰紹介⾃⼰紹介
HN: アルム＝バンド
SNS等
 @Bredtn_1et
 arm-band
 arm-band (Crieit)

3. ある⽇突然、あなたのサイトがこんな表⽰になったらどうしますか︖ある⽇突然、あなたのサイトがこんな表⽰になったらどうしますか︖

4. しかもその上……こんなメールが届いたらどうしますか︖しかもその上……こんなメールが届いたらどうしますか︖
【エックスサーバー】■重要■お客様のサーバーアカウントに
おける不正なアクセスの検知および制限の実施について
平素は当サービスをご利⽤いただき誠にありがとうございます。
エックスサーバーカスタマーサポートでございます。
(アカウント情報 / 略)
お客様の上記サーバーアカウントにおいて、サーバー⽤
メール送信ソフトウェア(Sendmail)を⽤いた⽇本国外の
メールアドレスに対する⼤量のメール送信処理を確認いたしまし
た。
...(後略)

5. 😇😇

6. 今⽇お話しすること今⽇お話しすること
1. 原因
2. 凍結解除の⼿順
3. WordPress サイト復旧の⼿順
4. 対策

7. 1. 原因1. 原因

8.  今回のケース今回のケース
 FTPの不正アクセス
 プログラムの脆弱性を突かれての不正アクセス
WordPress
その他CMS (MODX)
⾃前PHPプログラム (Mastodon bot など)
 不正ファイルの設置場所などから、ここではないか

9. 2. 凍結解除の⼿順2. 凍結解除の⼿順

10. メールに書かれていた⼿順 (サーバ)メールに書かれていた⼿順 (サーバ)
アカウント領域のファイル全削除
サブドメインサイトも含む
ドメイン(サブドメイン含む)設定全削除
サブFTPアカウント削除
SSL設定削除

11. メールに書かれていた⼿順 (PC・開発環境)メールに書かれていた⼿順 (PC・開発環境)
ウイルス対策ソフトによるスキャン
プログラムの脆弱性チェック

12. 整理すると整理すると
サーバのファイル・設定は全削除
ただし、DBはそのままで良い
要バックアップ
現時点のものをそのまま再アップロードは不可
不正なプログラムが存在するため
怪しいphpファイルが散在 ( z.php、1.php など)
せめてウイルス対策ソフトでチェックを
⾃信がなければサポートに問い合わせ
実際に⾃分で想定した⼿順に間違いないか確認

13. 😇😇

14. ⼿順1⼿順1
バックアップ
ウイルス対策ソフトでファイルスキャン
サーバ上のファイル全削除
初期状態のファイル・フォルダは残存
SSL設定全削除
ドメイン設定削除
サブFTPアカウント削除
SSH設定削除

15. ⼿順2⼿順2
作業完了後、サポートに電話
作業完了の連絡、解除申請を申し出る
20分程度で解除完了
現在はCovid-19関連でもっと時間がかかるかも
独⾃ドメイン再設定、無料SSL設定
取得・所持の情報は保持されていたので適⽤のみ
サブドメイン設定、無料SSL設定
ドメイン設定・SSL設定はタイムラグがあるため注意

16. ここまでは⼀般的な作業
次から本題 (WordPress)

17. 3. WordPress サイト復旧の⼿順3. WordPress サイト復旧の⼿順

18. 1.1.  WordPress のインストールWordPress のインストール
1. WordPress 本体をダウンロード
2. wp-foncig.php を作成
DB接続情報を消去を免れているDBの情報にする
3. サーバに本体 + wp-config.php をアップロード

19. 1.1. ダウンロードして解凍した WordPress のファイル⼀式1.1. ダウンロードして解凍した WordPress のファイル⼀式

20. 1.2., 1.3.1.2., 1.3. wp-config.php を書き換えてアップロードwp-config.php を書き換えてアップロード

21. 2.2.  ファイルコンテンツを復旧ファイルコンテンツを復旧
1. wp-content/uploads をアップロード

22. 2.1. wp-content/uploads をアップロード2.1. wp-content/uploads をアップロード

23. 3.3.  プラグインを再インストールプラグインを再インストール
1. 管理画⾯にログイン
WP SiteGuard Plugin のログイン画⾯変更は無効済
デフォルトの wp-login.php でログイン
2. 管理画⾯のプラグイン→新規追加、でインストール
プラグインの設定を⾒直す

24. 3.1. 管理画⾯にログイン3.1. 管理画⾯にログイン

25. 3.2. 管理画⾯のプラグイン→新規追加、でインストール3.2. 管理画⾯のプラグイン→新規追加、でインストール
ファイルが存在しないプラグインがエラーとして⼤量に表⽰され
るので控えておくと良い

26. 3.2. プラグインの設定を⾒直す3.2. プラグインの設定を⾒直す

27. 4.4.  テーマを再インストールテーマを再インストール
1. テーマを再インストール
カスタマイザー等の設定を⾒直す

28. 4.1. テーマを再インストール4.1. テーマを再インストール
デフォルトテーマに戻されるので適⽤しなおして設定⾒直し

29. 5.5.  ウィジェットウィジェット
1. ウィジェットの設定を⾒直す

30. 5.1. ウィジェットの設定を⾒直す5.1. ウィジェットの設定を⾒直す

31. 🎉復旧完了🎉🎉復旧完了🎉

32. 4. 対策4. 対策

33. 4.1.4.1.  以前から実施済み以前から実施済み
複雑なパスワード (⼤⼩英数字記号12⽂字以上)
⽇頃からコア・プラグイン・テーマを最新版にアップデート
WP SiteGuard Plugin 導⼊

34. 4.2.4.2.  追加対策追加対策
WordPress 側
1. ユーザ名の隠蔽
2. IP GEO BLOCK 導⼊
それ以外
テストサイトの分離

35. 4.3.4.3.  ユーザ名の隠蔽ユーザ名の隠蔽
WordPress のユーザ名は簡単に判明する
投稿者アーカイブ
例: サイトURL/?author=1
WP REST API
例: サイトURL/wp-json/wp/v2/users
これらの表⽰をしないように修正

36. 4.4.4.4.  IP GEO BLOCK 導⼊IP GEO BLOCK 導⼊
管理画⾯や wp-ajax への不正アクセスを国コードで遮断できる
⽇本のIPアドレス以外からのアクセスをブロック

37. 4.5.4.5.  テストサイトの分離テストサイトの分離
テストサイトのプログラムを別のサーバに移管
パッケージガーデニング(古い Composer パッケージの更新)
テストサイトのプログラムを作り直し

38.  所⽤時間所⽤時間
復旧の所⽤時間︓1〜2⽇程度
ドメインやSSLの設定反映待ち含む
対策まで含めるとかなりの時間を要した
復旧できなかったサイトもある (WordPress以外)

39. まとめまとめ

40. DBと wp-content/uploads があればどうにかなる
きちんとしたテーマやプラグインであればさらに吉
例:
再インストール時にテーマの設定が残っている
プラグインが無効化され、通常の状態と同様にログイン可
WordPress のディレクトリ構造や仕組みが分かっているとなお吉
⾃⼒で引っ越しする、 WP-CLI で置換する、等の経験
改めて WordPress の偉⼤さを実感
壊れにくい・復旧させやすい
ノウハウの多さ

41. でも⼀番⼤事なことは……
⽇頃のセキュリティ対策⽇頃のセキュリティ対策
※バックアップも忘れずに※バックアップも忘れずに
(壊れないことが⼀番良い)
ご清聴ありがとうございました