ユーザー登録ができないように設定しているにもかかわらず、管理者権限を持つユーザーが登録されてしまったと言う話。(言及のためURLのせますが対策がとられるまではアクセスを避けたほうがいいと思います)
- 【助けて】WordPressで不審なユーザーが管理者権限で新規登録されていたんですが。。。 http://love-guava.com/wordpress-unknown-user/
- WordPressの不審なユーザーはやはり不正アクセスの可能性が濃厚。ログイン履歴に痕跡あり。対策しました http://love-guava.com/wordpress-hacking-measure/
WordPressで作ったサイトを運用していて、見知らぬユーザーが管理者権限を持って登録されるというのは不気味とか気持ち悪いかと言うレベルを通り越しています。不幸中の幸いは管理者権限を取られていることを察知できたこと。
ユーザー登録を制限している環境下でユーザーを登録するのは管理者にしか行えないため、管理者権限の有無に関わらずユーザーを登録されたというのは、既にサイトを乗っ取られていたと考えるべき事案です。
考えられるリスク
既に管理者レベルでやりたいことができるのですから、
- 自分が使っているアカウントの権限が下ろされ、サイトをまるっと乗っ取られる。
- 自分のサイトに、閲覧しただけで感染するマルウェアを仕込まれる。
- 自分のドメイン内に、どこかの企業(銀行とかネットショップとか)の偽サイトが構築される。
- ボットネットに組み込まれる。
- パスワードを使いまわしていたら、使いまわし先のサービスに侵入される。
ということがあっても不思議はありません。
(2番目がこわいのでこういう「乗っ取られた」系の記事にはアクセスもしたくないところです。セキュリティソフトもEMETもOSの最新パッチも当てている状態で、管理者にばれるような動きをするレベルのクラッカーでは閲覧するリスクは低いかも、と思って蛮勇を奮って見ましたけど。)
とりあえず不審なテーマファイルが作られていないかとか、テーマファイル(特にfunctions.phpとかconfig.php)や.htaccessファイルに不正なコードが埋め込まれてないかを調べる必要はあると思います。
というか、管理者権限取られている時点で、改ざんされてないか疑うべきファイルはプラグインも含めて全部なんですけどね。
疑われる原因とか
的外れ(&失礼)なことも含めて列挙すると、
- WordPressのバージョンが古くないか
- 野良テーマ、野良プラグインを入れてないか
- 使っているテーマやプラグインの中にメンテされてないものがないか
- 自作のテーマなら、コードに脆弱性がないか
- .htaccessとかconfig.phpとかのパーミッションが緩くないか
をまず疑います。
この辺の運用に問題がなければ、使っているテーマやプラグインに未知の脆弱性があって・・・なんてことを考えることになるかと。
対策
サイトへの侵入を受けていろいろとログイン回りで対策されているようですが、一度管理者権限取られているので、これらの対策は全く役に立たなくなっている可能性があります。
私が実際に見つけた不正コード入りの野良テーマには、サイトにログインしたら、そのIDやパスワード、メールなどの情報をあるアドレスに送信するプログラムが仕込まれていました。そういうプログラムが仕込まれていたのなら、CrazyBone入れようがサーバーのログイン制限設定しようがほとんど意味がありません。海外IPの制限も、攻撃者が既に日本国内で乗っ取ったサイトを経由すれば意味がありません。
もっとも確実な対策としては、WordPressの入れ替えが一番手っ取り早いと思います(入れ替えないのなら、全ファイルのコードを読んでチェックしないと安心できない)。テーマファイルとかは開発・カスタマイズに使っていたローカルのものを上げれば良いし、安全な時期の記事データがなければ、とりあえずエキスポートした記事データをテキストエディタで開いて、<scriptの文字列で検索かければ改ざんチェックはできるのではないかと思います。
入れ替えた後に、ログイン周りでセキュリティを強化するなら、SiteGuard WP Pluginが良いかもしれません。正しいIDとパスワードを入れても必ず1回ははじくといっためんどくさそうな機能がありますが、それだけに頑丈なサイトが作れます。日本製なのでとっつきやすいですし。
