leigh
投稿の際は下記の情報をお書き添えください。
-------------------------------------------
WordPress のバージョン:(例 6.0.2)
Welcart のバージョン:(例 2.8.1)
PHP のバージョン:(例 8.0)
Welcart専用の拡張プラグインとバージョン:(例 DL Seller 3.4.1、SKU Select 1.4.2)
ご利用の親テーマとバージョン :(例 Welcart Basic 1.7.1)
ご利用の子テーマとバージョン :(例 Welcart Beldad 1.4)
症状を確認したブラウザ:
サーバー【重要】:(会社名、サービス名)
--------------------------------------------
フォーラムへの返信
-
投稿
-
お世話になっております。
サイト復旧にあたり、これまで皆様からアドバイスをいただいたり
自分で調べたりして反省点や今後の対策をまとめました。事前の対策:
・パスワード管理はもちろん、「All In One WP Security」などのプラグインで最大限の防御をする。
・Scannerで不審なファイルが投入された通知が来た時点で、ディレクトリを削除する。(これだけではいたちごっこですが)
・サーバ会社のWAFをオンにしておく(サーバ会社によってデフォルトで有効になっている場合があるので要注意。WAFをオンにするとCMSに不具合が起きることもありますが。
・サイトを海外からアクセス不可能にする。
・サイトにアクセスするときは、SNSなどは閉じておく。
・複数のPCでログインしない。Wifiを使うときはアクセス権やマックアドレスの設定など最大限のことをする。
・テーマ、プラグイン、WPのバージョンは常に更新状態にする。事後にしたこと:
・MySqlから、ありえないユーザーを削除
・MySQLから、WPのパスワードを変更
・複数のサイトを一つのサーバで運用していたが、あきらめてサーバのファイルを全部削除して、ドメイン直下のファイルを初期化。復旧:
サイトを作成したxamppにアップロード前のファイルが残っていたので、これを再度アップロードしました。・サーバ会社に聞いて、MySQL内のデータベースは大丈夫だろうと言われたので、サーバのファイルを削除する前に、データベースとUploadだけはバックアップを取りました。中身を全部見て、画像ファイル以外は全部削除する。バックドアがしかけられている可能性があるので、PHPやCGIなど全部。
・config.phpもバックアップ取りましたが、これは使わず接頭辞、サーバ情報、パスワードなどの部分だけ手動でxamppのファイルを戻した時にコピペしました。
その他:
・ECサイトなので、お客様のクレジットカード情報の漏洩が心配でしたが、カード情報を外部(決済会社)サイトで入力する方法を選んでいたのでよかったです。・大量迷惑メールでドメインがブラックになっていないかを確認しましたが、幸いリストにのっていませんでした。乗っていたら解除依頼を出さなければならないので。
もっとたくさん考えること、するべきことあると思いますが、
現時点で自分なりに、まとめてみました。ECサイトを運営する限り、まずはお客様の個人情報を守ること、共有サーバ
を利用している方々に被害を及ぼさないことなど、個人であろうと
サイト運営者の最大の義務だと思い、とても大きな勉強をしました。みなさま、ありがとうございました。
ftmasaさま
ありがとうございます。
4日も気が付かないなんて、怠慢をとっても反省しています。htacesseのこと教えてくださりありがとうございます。
安心しました。
htacesseの内容も読めるようにならないとと思います。ログを消していくのですか。高度な技術を持っているのですね。
ところで、このテーマを読んでいらっしゃる方がいたら
参考までに。さくらのレンタルサーバはWAFがデフォルトで無効に
なっています。以前ロリポップだったのですが、デフォルト有効だったので
必要な時に無効にすればよかったのですが油断していました。自分で有効にする必要があったのです。基本ですね。
ご報告まで申し上げます。
ありがとうございます。
fnetmasaさま
ご教示ありがとうございます。
scannerは1dayにしましたが、1hourにします。
昨日から他のサイトに設定したのですが、夜(日本時間?)に
htacesseが変更されていました。
人為的なものか、システムなのか分かりませんが、
こちらのサイトは全く脅威はないので
いいのかと・・htacesseの機能を調べてみようと思います。これも別の話ですが、さくらコントロールパネルでログイン履歴を
見たのですが、自分の履歴しか残っていませんでした。悪意で作られた(DBで見つけたuserはログイン履歴に
記録されずにログインするのですね。メール送信履歴は3月31日から4月3日にかけて
ものすごい件数になっていました。「さくら 国外IPアドレスフィルタ」と
「海外からWordPressにイタズラされるので、不正アクセス対策をしました。」
早速調べてみます。たくさん教えていただいてありがとうございます。
さくらの回答によりますと
弊社では3月31日から4月1日にかけて改ざんが行われている状況を
確認いたしましたが、お客様個々の状況についてはわかりかねます。だそうです。
uishiさまも被害に会われたのでしょうか?
一つ緊急な質問を usces_cacheとか言うフォルダが必要でしょうか。
パーミッションは000にしました。これは私に対するご質問でしょうか?
どなたか、詳しい方お返事お願いできますか。自分のFTPでプラグイン内を見ましたが、welcart関連は
usc-e-shopフォルダしかありません。どちらにしても気味が悪いので削除するつもりです。
さくらで複数のサイトを運営しているのですが、
当該のECサイトの他に、閉鎖されていないサイトも
全て削除すべきか判断に迷っています。All in One Securityは他のサイトには入れていました。
機能をよく見ると、ログイン通知、ログイン画面URL変更、
マルウェア監視やファイル変更履歴などたくさんありました。基本的なマナーと一緒にこのプラグインをしっかり
使っていこうと思います。fnetmasaさま
ご丁寧なお返事をいただきありがとうございます。
さくらから通知が来たのは3日でした。
サイトが閉鎖されたのは、2日か3日なのだと思うのですが
3日にイタリアからアクセスがありました。これが最後です。日ごろAkismetやJetPackが、ダッシュボードに不正アクセスの
件数など表示してくれているのですが、これではブロックできなかった
のですね。すぐに対処すればSPAMは停止できます
すみません、この対処方法が分からないのですが、教えて
いただけますでしょうか。検索のキーワードなど
ヒントをいただければうれしいです。・日本国内向けのWPサイトでは、日本からのみアクセス許可
(ただしGoogle等検索エンジンには見せる)
・海外にも見せるサイトは下記3ファイルを海外からは遮断
wp-cron.php
xmlrpc.php
wp-login.phpこちらについても何かヒントをいただけますでしょうか。
プログラムのことが分からないです。どうぞよろしくお願いいたします。
申し訳ありません。nstepsさま
確かに同じケースに思えます。
私の場合、まず自分のパスワードを変更しなければと
phpMyAdminからuserを見たところ、見たことのない
userが勝手に作られていましたので、パスワードが
取られたのかとは思っています。教えていただいたところによると、マルウェアの仕業で
このようなことが他にもたくさん起きていることが
分かりました。みんな同じユーザー名なのです。サーバ会社からはパーミッションを000にしたという
通知が来ただけで、原因や対処法に関して質問を
しても回答がなく、原因が分からず先に進むのを
躊躇しています。元のファイルがxamppに残っていたことを
思い出しましたのでこれを元にして回復していこうかと
思います。また同じ攻撃に晒されないように考えつつ、元の環境に戻すことになり、
かなりきつい作業となりました。とのこと、大変な作業であったと想像します。
私のサイトは規模も小さく、uploadとデータベースは
なんとかバックアップが取れたのでなんとかとは思います。一番大事なのは、また同じ攻撃にさらされないようにすることですが、
自分としては、プラグインのアップデート、
WPのアップデート、fnetmasaさまに教えていただいた
「All In One WP Security」の機能である「scanner」を
やってみるしかないかと思います。心配なのは、大量のSPAMが送信されたことによって
ドメインがブラックリストに載ってしまったら
ドメインを変えることもしなければいけないのかと。それから、不正アクセスを受けたサーバは再度
許しやすいということもあるそうで、サーバの問題も
あるのかと。他にもサイトを運営しているのですが、やはりECサイトということで
狙われたのでしょうか。ありがとうございます。
WordPressの脆弱性とプラグインの脆弱性と関連があるようにも
聞いています。改ざん時に通知が来ると、改ざんされる前に阻止できるのでしょうか。
回復したらやってみます。htacessでロシアのアクセスを拒否しましたが、だいぶ減りましたが
ゼロにはなりませんでした。日本からだけ受け付ける方法は
知りませんでした。特定の国を拒否して、googleの検索エンジンには検索結果として
表示させても、その特定の国の端末からは開けないということでしょうか。いつもお世話になっております。
上記の質問ですが、自己解決しました。
理由は、Welcart Shopクレジット決済設定画面でテスト環境の
ままで実際の決済をしておりました。本番決済を選択したところ、決済ができました。
ページ遷移に関してはまだ確認できていませんが
こちらも解決すると思います。お騒がせして申し訳ありませんでした。
今後ともどうぞよろしくお願いいたします。
nanbuさま
ありがとうございます。
その後あらゆることを試した結果、2、3日前に
何とか全ページを表示することができました。原因は特定できないのですが、キャッシュ、
パーマリンク設定、新URLへの結び付けでは
ないかと思います。子テーマは壊れていたので、作り直しました。
どちらにしても、Welcartの問題ではないようでした。
ご報告が遅くなりすみません。
今後ともよろしくお願いいたします。
追加情報です。
WordPress のバージョン:4.6.1
Welcart のバージョン: 1.9.0
ご利用のテーマ:Welcart basic / welcart basic child / Blanc
症状を確認したブラウザ:Chrome
サーバー(会社名、サービス名):sakura
SSLの利用: テスト段階なので未設定
WordPress のパーマリンク設定:投稿名(/%postname%/)大変失礼しました。
影響を与えていたプラグインはVK All in One Expansion Unit
というBizVektorやLightningのテーマを
作っている会社が提供してくださっている
プラグインです。固定ページに子ページ一覧を表示するとか
先祖ページからの階層を表示するとか
他にもいろいろ便利な高機能なプラグインです。このプラグインの中のどの機能が
影響していたのかは分かりません。全ての機能を無効にしても、プラグインを有効化すると
商品画面が同じ状態になったので。とてもいいプラグインですが、Jecpackとも
クラッシュすることがありました。
多機能だから仕組みが高度なのですね。もしも何か原因がお分かりになればぜひ教えてください。
お返事が大変遅くなり申し訳ありませんでした。
よろしくお願いいたします。kitamuuuさま
基本的なプラグインだけ残して後全て停止しました。
結論です。
大成功でした。
不具合が出る前の商品ページもすべて綺麗に表示されました。ありがとうございました!
これからどのプラグインが影響していたのか、一つ一つ戻して
検証します。汗汗):それにしてもまだ不思議なのは
商品登録画面からも先ほど添付した「複写して新規」が
そのまま残っています。プラグイン停止しても残っている。
・・・ということは、この機能まだ使っていいということですね。
kitamuuuさまの商品登録画面には出ませんか?他にもテーマの不思議な挙動はありますが、とりあえず解決方法が
分かりました。ありがとうございました!感謝です(^^)/
kitamuuuさま
Duplicate postを停止してやってみました。
停止後、画面を立ち上げ直しました。結論です。
詳細画面に変化はなくタイトル、画像、カートに・・・が
全部ダブったままです。商品登録画面からも先ほど添付した「複写して新規」が
そのまま残っています。「複写して新規」の正体も不思議です。Duplicate postの
せいではないとすると・・・ところが、翌日くらいに商品登録の画面を見たら
添付のように「複写して新規」というリンクができていたので
不思議に思いながらも便利なので使っていました。これも不思議です。
ご指摘通り、welcart以外のプラグイン停止してやってみます。
またご報告させていただきます。ありがとうございました。
kitamuuuさま
ありがとうございます。
全商品は確認していませんが、2、3点確認したところ
同じ症状です。ご指摘のDuplicate postですが、確かに最初に
インストールしたところ、一般の投稿では有効でしたが
商品登録では無効だったので、Welcartの仕様と思っていました。ところが、翌日くらいに商品登録の画面を見たら
添付のように「複写して新規」というリンクができていたので
不思議に思いながらも便利なので使っていました。あ!これが原因でしょうか!?
すぐやってみます!
PAGE TOP