今回、不正アクセス、悪意のある改ざんか?とヒヤッとした件。
wordpressサイトの表示が突然崩れて、ログイン画面は表示されるものの、ログインした際のリダイレクト先のURLも書き換えられているので、管理画面にログインできなくなった。
ソース確認すると、はやり!!
CSSのパスが書き換えられている。
CSSのパスだけでなく、なぜか一部の画像のパスも書き換えられていて表示できない。
URLのパス、ドメイン名から「.×××」が消えている。
↓
不正アクセスを確かめるため、FTPで直近の書き換えがあったファイルを探す。
.htacsess 更新されていた
.htacsess 弄るって何者?
あいにく、サーバーのアクセスログ解析をONにしておらず、誰がいつ?を確認できず・・・
↓
CSSはヘッダー内リンクだったので
header.php
blog-header.php
もちろん、更新されていた .htacsess も確認したが記述に何も異常が見つからず。
サーバーメンテナンスかせあったようだったので、サーバーに問合せをしてみた。
↓
CSSのパスだけ書き換える謎。
wordpressにログインもできないし、.htacsess だし・・・
もしかしたら、何者かにURLの書き換えをされたのかも?と疑い・・・
↓
wordpressのURLをうっかり書き換えてしまい、ログインできなくなった時を参考に
wp-config.phpに正規URLのコードを追記して、データベース内にあるアドレスを強制的に書き換える方法を試す!
↓
無事ログインできたと同時に、今回はこの時点でCSSのパスも正式URLに戻ってました。ホッ!
↓
それにしても、CSSのパス、URLを書き換えるなんて悪戯、何がしてくれたんだろうと、怪しいプラグインを探ると・・・
「Really Simple SSLプラグイン自動更新不能で途中で停止した」とダッシュボードに!!
↓
これか!!!
でも、SSL化する前からのwordpressなので、SSLのプラグインを外すと、また一手間かかるので
ダメもとで手動更新をかける。
自動更新はダメでしたが、手動更新は無事にできた。
↓
今回のwordpressは、
PHPのアップデートもしておらず、データベースも古く、本体の更新もしていなかったので
その関係で、プラグインとの不具合が出たのだと思います。
↓
何か予期せぬトラブルあった時は、怪しいプラグインを停止し削除していくというのはセオリーですが
今回はログインさえできなくて、FTPで書き換えられたファイルを探してのことだったので
ここまで、数時間かかってしまいました。
↓
その後、さくらのサーバーさんから丁寧な回答があり
アクセスログでも、ReallySimpleSSLが書き換えを試みていたというデータを提示してくれました。
不正な書き換え、改ざんが行われた形跡もないことも知らせていただけました。
※コントロールパネルのアクセスログ解析、慌ててONしましたが・・・
さくらのサーバーのカスタマーサポートさん、親切丁寧にありがとうございました。
↓
よって、今回の謎のCSSと画像のパスの書き換えの犯人は
「Really Simple SSL」の更新失敗が影響していたということです!!
