みんなの「教えて(疑問・質問)」にみんなで「答える」Q&Aコミュニティ

こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

ブログのハッキングについて

自分のサイトを検索してみるためにキーワード「ペアレーチング」と入力してグーグルで検索したら、下の写真のように全く知らないサイトのタイトルに、自分のサイトの紹介文が・・・
そして「このサイトは第三者によってハッキングされている可能性があります。」となんとも怖い一文が。
しかもクリックしてしまいました。

とりあえず、ワードプレスのユーザー名とパスワードを変更し、adminを削除しました。
このような事態が起きる原因は何なのでしょうか?
そして私がするべき対処・対策などがあれば知りたいです。
どなたか詳しい方がいらっしゃいましたら教えていただけないでしょうか?

投稿日時 - 2016-12-13 08:28:49

QNo.9267611

すぐに回答ほしいです

質問者が選んだベストアンサー

ハッキングされてブログ内容書き換えられちゃったんですね・・・

ハッキングの目的は「管理者(Administrator)権限」を奪うことにあります。これを奪取されると自由に内容を書き換えられてしまいます。



>このような事態が起きる原因は何なのでしょうか?
考えられることをいくつか挙げておきますね。「ID・パスワード」は分かりにくい文字列にし、使い回さない・・・・普段よく言われていることです。「パスワードは特定されにくい文字列にしてください」とか
「パスワードは8文字以上にしてください」とか、、、

これだけ「不正アクセス問題」が話題になっている昨今において、誰もが認識している当たり前の事です。ですが、この”当たり前”の事が、超重要なのです。これさえやっておけば、ある程度のセキュリティは担保されます。

パスワードに設定すべき文字列は、英単語のような意味のあるものではなく、ランダムに文字(アルファベットと数字、大文字も含ませる)を羅列しただけの文字列にしておきましょう。

決して「パスワードなんて変更しても意味ないよー」なんて、思わないで下さい。
特にブログを運営している方が、このような認識では致命的です。早急に認識を改めてください。

またブログを運営している場合は、ブログのアカウント以外にも、下記の「ID・パスワード」にも注意が必要です。ローカルPC・サーバー(レンタルサーバーの場合は、レンタルサーバーの管理画面)・FTP・データベース・・・・

簡単に考えているようですがよく考えてみてください、キーボードから入力できる文字は限られてます。勿論数千万~数億通りの組合せはあるでしょう。ただパスワードの文字列が少ない・数字だけである・・・と組合せは数万通りに減ってしまいます。これを人間がちまちま組み合わせるなら解析に時間画かかりますが、PCにこれをやらせると数分であっという間に全ての組合せを試していけるんです。これを総当たり攻撃(ブルートフォースアタック)と言い、ハッキングテクニックの初歩になります。特に意味のある英単語などの組合せ解析は早くなります。
https://ja.wikipedia.org/wiki/%E7%B7%8F%E5%BD%93%E3%81%9F%E3%82%8A%E6%94%BB%E6%92%83



>そして私がするべき対処・対策などがあれば知りたいです。

(1)まずは上述しているように「ID・PW を特定されにくい文字列にする」ことです。

(2)サイト管理画面・サーバー・FTP・データベースへのアクセスを特定の(グローバル)IPのみに制限するのが最善です。要はそもそもログイン画面にアクセスさせない事です。管理者が使用しているPCのみアクセスを許可して、あとはアクセスを制限します。(ログイン画面へのアクセスをIP制限することで可能です)
   ↓
設定方法
IP制限をするためには「.htaccess」というファイルが必要です。

そしてログイン画面は、Wordpressルートディレクトリ直下の「wp-login.php」というファイルで、管理画面は WordPressルートディレクトリ直下の「wp-admin」というディレクトリにまとめられています。なので、管理画面をアクセス制限するには、「wp-admin」ディレクトリをまるごとアクセス制限してあげる必要があります。

なので今回は、ログイン画面と管理画面、2つの「.htaccess」ファイルが必要になります。

「.htaccess」ファイルを作成していきます。
まずは、ログイン画面「wp-login.php」の方から作っていきましょう。
メモ帳等のエディタを開いてください。そして、下記をコピペしてください(赤文字部分は、自宅PC等の許可したいグローバルIPアドレスに変更してください。

編集を終えたら、保存時「.htaccess」とファイル名を設定して保存してください。
保存したらこの「.htaccess」を、サイトを公開しているサーバーのWordpressルートディレクトリ直下に置いてください。これでログイン画面へのアクセスは、上記で設定したIPのパソコン以外からのアクセスは制限されます。

投稿日時 - 2016-12-13 09:10:33

お礼

ありがとうございます!とても分かりやすくご説明いただき助かりました!

投稿日時 - 2016-12-13 16:37:20

このQ&Aは役に立ちましたか?

1人が「このQ&Aが役に立った」と投票しています

回答(3)

ANo.3

googleの公式FAQを引用します。

(引用開始)
サイトの既存のページが改ざんされた、またはスパムページが新たに追加されたと思われる場合は、「このサイトは第三者によってハッキングされている可能性があります」というメッセージが表示されます。このようなサイトにアクセスすると、スパムや不正なソフトウェアにリダイレクトされることがあります。
(引用終了)

参考URLでは、サイト管理者(この場合は質問者様)がするべきことも掲載されていますので、ご確認ください。

参考URL:https://support.google.com/websearch/answer/190597?hl=ja

投稿日時 - 2016-12-13 10:29:23

お礼

ありがとうございます!

投稿日時 - 2016-12-13 16:38:08

ANo.2

追記(長文化したのでページ分けました^^)

今度は管理画面「wp-admin/」の.htaccessファイルを作成していきます。

先ほどのようにエディタを開いて、下記をコピペしてください(赤文字部分は、自宅PC等の許可したいIPアドレスに変更してください)

編集を終えたら、「.htaccess」とファイル名で保存し、「wp-admin」ディレクトリ直下に置いてください。これで、「wp-admin」以下の階層のディレクトリ・ファイル全てにアクセス制限が掛けられます。
要するに、「管理画面」全体がアクセス制限されることになります。


自分のIPアドレスが分からない場合は
https://www.cman.jp/network/support/go_access.cgi


最後に
上記設定をして、自宅PCからアクセスできなくなった場合は、自宅PCのIPが、”(プロバイダによって)一定間隔ごとに変化”しているためです。
http://viral-community.com/security/mypc-access-ok-2027/

投稿日時 - 2016-12-13 09:18:52

あなたにオススメの質問