WEBさん

index.php に見覚えのないコードが入っていたら、サイトのトップで攻撃者のメッセージが配信されている状態です。まずは静かに証拠を残してから対処します。

※ 本記事は2021年当時の事例です。 現在の WordPress 6.x / PHP 8.x 環境では推奨手順が変わっている可能性があります。最新の対応方針は復旧サービスまたはご相談窓口から確認ください。

ご覧いただきありがとうございます！

「改ざんされた」「ウィルスに感染した」「ハックされた」「乗っ取られた」と言われても、具体的に何が起きているかわかりますか？

たとえば、こんな感じで警告文が表示されたりします。

もう、わけがわかりませんよね。

今回はこの画面が表示されてしまったお客様のお悩みを解決した話です。

今回の主な環境

調査と仮説

まずはいつも通り、メッセージを確認します。

どうやら「index.php on line 1」で問題が発生しているようです。

では、index.php の中を覗いてみます。

見事に 1 行目から改ざんされていました。

画像を拡大表示するとわかりますが、body タグ内の script タグにも、あやしいコードが追記されています。

これらが「改ざん」「ウィルス感染」「ハック」「乗っ取り」といった抽象的な表現の正体です。

まずは index.php をデフォルトに戻します。

次に WordPress のダッシュボードにログインし、他に改ざんされた箇所がないかチェック、必要な修復を実施しました。

今回は、改ざんされた WordPress の問題を解決した事例でした❗️

まずはメッセージをよく読み、焦らずに WordPress やサーバー側を疑いましょう❗️

WEBさん

「消したけど、また書き込まれる」ループに入っていたら、それは index.php だけの問題ではない合図。根っこを一緒に探しましょう。