低セキュリティーWordPressサイトの引継ぎ事例

WEB製作会社に頼むとコストがかかりすぎ、巷のブログを頼りに作業してみたら、実はとんでもなく危ない手順だった。。。みたいなことも案外経験されているかと。

「ファイルのパーミッションを777にしたら動きました！」みたいなのとか、「/wp-includes/xxxx.phpを編集しましょう」みたいなのとか(;´･ω･)

サーバの構築にしても、普通のセキュリティー対策だけではすぐにWordPressサイトは改ざん被害に遭ってしまいます。

以前３万円で構築されたというWPのサイトオーナーから相談を受けたのですが、全PHPファイルが改ざんされ、不法なスクリプトが埋め込まれていました。開発会社にそれを指摘しても、「問題ありません」との回答( 一一)

暗号化されたスクリプトを見ても、それが正しいものかどうかも分からないんですね。バックアップも取ってないから、正常なファイルとの比較もできない。ちなみにWPのパスワードは「1234」でした(・。・;

100サイト以上の実績がある、美容系サイト製作ではまあまあ知られた会社がそれです。。。

結局、サーバとドメインの引継ぎをし、バックアップが無いから埋め込まれたスクリプトを、正規表現を用いた置換を何度も行い削除し、無事に復旧・引っ越し、その後一般的に求められるセキュリティ対応を行いました。