ホームページが乗っ取られました

結果から言いますと、WordPressは一度乗っ取られてしまったが、レンタルサーバー（X server）さんのご協力のもと、そっくりそのまま無事にホームページを取り戻すことができました。ことの発端から、ことの顛末まで思い出しながらまとめてみます。同じようなことが起きた方への参考になればと思います。

身に覚えのないメールからはじまった

土曜日の23時

土曜日の夜、就寝前に仕事のメールチェックをしていたときでした。身に覚えのないホームページ管理ページの『パスワードを変更しました』のメールが来ていることに気が付きました。実際にそのメールが来ていたのは昼ごろでしたが、メールアプリのタイムラグで確認したのは23時頃。

私が運営しているホームページはすべてWordPressで製作しています。まずはPCで管理画面からログインを試みるも弾かれる結果に。『パスワードを忘れた』ということにして再設定を試みるも、メールアドレスそのものを書き換えられてしまったようで、それもできませんでした。

日をまたいだ0時〜1時

慌ててインターネットで対処法を探し出しました。ほとんどが『まず冷静になる』からはじまっていました。今思えば、本当にそのとおりだと思います。なぜなら検索をすればするほとに不安が募っていくばかりだったからです。動悸が身体中を駆け巡るような感覚すらありました。

そこでいくつかのページにたどり着き、『WordPressをアンインストールしてインストールし直すことでもう一度作り直した』『５年間書いたブログが失われてしまった』という絶望的な内容を読み、私は『取り戻せなければホームページはもう作り直し、４年書いたブログは諦めるしか道はないかもしれない』と諦めはじめました。

そこまでWordPressやレンタルサーバーについて詳しくはなかったため、『WordPress管理画面に不正アクセスされログインされたとしても、サーバー側に不正アクセスがなく、ファイル書き換えなどされていなければ大丈夫』ということがわかっていなかったのもこのパニックの原因のひとつでした。

X serverのアカウントとサーバーパネルにログインし、サーバーパネルを見ながらあることを思い出しました。何かのバグで、海外からのアクセスなどの推奨されていたセキュリティをONからOFFに切り替えたままにしてしまっていたことです。慌てて推奨のONにすべて切り替え、アクセス制限をかけました。

パニックになりながらも、サーバーパネルからできそうなことはすべてやってみました。深夜だったこともあり、ホームページ管理画面にもホームページ本体にもアクセスできないように設定していったんひと呼吸することに。

2時〜3時半

しかし、やはりこのままではどうやっても取り戻すことはできないと判断し、契約先のX serverに問い合わせることにしました。

電話やチャットでの問い合わせは平日のみの対応のため、メールでの問い合わせをすることにしました。メールでは24時間以内の対応となっています。とにかく以下の3点についてメールしてみることにしました。

• 不正アクセスされてワードプレスの管理画面にログインできなくなったこと
• メールアドレスも書き換えられてしまい、パスワードの再設定もかなわないこと
• WordPressをアンインストールして再インストールして再構築することは問題ないか

メール自体は2時過ぎに送ったのですが、すぐに返ってくるものでもないので諦めていったん休むことにしました。ですが、やはり気になって気になってなかなか寝付けず。ちょこちょこメールチェックをしながらベットの中でごろごろして過ごしました。

X serverからの返信

5時45分ごろ

Xサーバーアカウント側の問題はないと存じますが、
念のため、各パスワードについてはご変更いただき、
2段階認証の設定についてもご対応くださいますようお願いいたします。

なお、一度WordPressを削除していただき、再インストールすることは可能でございますが、当サポートにてサーバー内に不正ファイルの設置や、不正アクセスの形跡がないかどうかお調べすることができます。

（以下省略）

さっそく調査をお願いしました。このあと、自分で何かをすることができないので、仕方なく休息を取ることに。とはいえ、ベッドに入っても全然眠れませんでしたが（笑）

9時50分ころ

それでは、お客様が利用中のサーバーアカウントに対して、
不正アクセスがされていたかどうか等、
詳細について確認を進めてまいります。
現時点におきましては、引き続きサーバーアカウントをご利用いただいて
問題ございません。

ただ、万が一問題が確認されましたら、
その時点より、先のメールにてご案内いたしておりますように
不正ファイルの無効化や各種セキュリティ関連の設定の強化を
当サポートにて実施する可能性がございます。


（中略）

なお、WordPressの記事データは『データベース』側に保存されております。
調査結果にもよりますが、WordPressに不正ログインが行われたのみで、
サーバーのFTP領域への不正アクセスが確認できた場合、
記事データは初期化することなく復旧していただくことが可能です。

記事データがデータベース側に保存されている、ということでまずはひと安心しました。そこで、記事の画像データといった替えのきかないデータについて、バックアップを試みることに。ただ、ここではファイルマネージャーはフォルダ単位での操作に対応していないということでした。FPTソフトを利用して、『uplaods』フォルダのダウンロードを指示していただいたので、サーバーの調査が終わるまで、こちらはサイバーダックをインストールしてバックアップを取ることで時間を過ごすことに。

15時50分ころ

ご依頼いただいておりました調査につきまして、
先ほど完了いたしました。

ご利用のサーバーをお調べいたしましたが、
サーバー自体への不正アクセスが行われた形跡は
確認できませんでした。

確認する限りでは、不審なアクセスもございませんでしたが、
本件におきましては、WordPressのパスワードが
外部に流出した、第三者に推測されたなどの要因により、
WordPressへの不正ログインが行われた可能性があると存じます。


（中略）

本件に関する対策としては、
WordPressのパスワードを複雑な情報にご変更いただく、
また、セキュリティ系のプラグインを導入していただくことも一考かと存じます。

つまり、

• サーバー側に不正アクセスはされていなかった
• WordPressの管理画面のログインIDとパスワードが破られてしまっただけ
• 対策としては難しいパスワードに変更することとWPのセキュリティプラグインを入れること

ということでした。このあと、サーバーパネル側でメールアドレスを受信可能なものにする方法を教えていただき受信メールを自分のものにしました。

無事取り戻すことができました

メールアドレスを変更した後、パスワードを強力なものに変更し、無事に自分の手にホームページを取り戻すことができました。いや、本当に取り戻すまでは生きた心地がしませんでした（涙）

これもひとえにX serverさんのサポートのおかげです。他のレンタルサーバーに比べて月額利用料は少し高いかもしれませんが、こんなにしっかり夜中もサポートしてくださるとは思いませんでした。途中から本当に藁にもすがる気持ちでしたが、質問についても各々きちんと回答をしてくださり、とても親切で途中何度も泣きそうになりました。

おそらく、総当たりで生成したパスワードが当たってログインされてしまったのだと思います。すぐに強力なパスワードを生成して変更しました。プラグインも評判の良いWordfenceを入れて、毎日のようにスキャンしております。

インターネットを利用するということは、いつでもこういった目に遭う危険が孕んでいるということを改めて思い知らされた出来事でした。今回の私のこの経験が、お困りの誰かの参考になればと思います。