WordPress ウェブサイトのハッキングとスパム送信:症状、原因、クリーンアップ

WordPress はおそらく、オンライン コンテンツ管理の最も安価で簡単なソリューションです。 WordPress は長い間存在しており、現在 Web の主要なセクションを支えています。ただし、世界で最も一般的に標的にされている CMS の 1 つでもあるため、この人気には大きな代償が伴います。その結果、WordPress がハッキングされて顧客にスパムが送信されたなどの問題について、ユーザーから苦情が寄せられることがよくあります。また、WordPress のスパムに対処することは、長期的にはサイトの評判を損なう可能性があるため、より苛立たしいものになる可能性があります. WordPress Ultimate Security という本によると、

この記事では、WordPress がハッキングされてスパムを送信するいくつかのケースについて説明し、それらに対処する方法を学びます.

関連記事:2018 年にハッカーが WordPress ウェブサイトを悪用した方法

WordPress ハッキング送信スパム:症状

WordPress がハッキングされてスパムを送信する問題が発生した場合、それを検出するのに数時間または数日かかることがあります。これは、スパム メールが Web 上で伝播するのに時間がかかるためです。ただし、そのような攻撃を与える可能性のある症状がいくつかあります。これらは:

• サーバーのスパムを監視し、WordPress がスパムを送信するためにハッキングされた IP をブラックリストに登録するオンライン サービス。その結果、送信した正規のメールが受信者の迷惑メール フォルダに振り分けられてしまいます。
• Google などの一部の検索エンジンは、スパムを送信する WordPress サイトをブラックリストに登録します。
• 大量のスパムが MTA キューに追加されたため、WordPress サイトが突然非常に遅くなりました。
• ログに表示されるエラーが多すぎます。特に、失敗したメール配信メッセージです。
• ISP は、大量の送信スパムについて警告しています。
• WordPress サイトが突然帯域幅を圧迫し始めました。
• 「MTA キューが大きすぎます!」などの警告メッセージが表示されます。

WordPress ハッキング送信スパム:原因

マルウェア

WordPress がハッキングされてスパムを送信するのは、マルウェア感染が原因である可能性があります。さらに、ハッカーは悪意のあるスクリプトを WordPress サーバーにアップロードしようとします。これらの悪意のあるスクリプトは、SMTP との接続を確立します メールサーバーを破壊し、スパムを大量発生させます。そのようなマルウェアの 1 つのソース コードを以下に示します。画像に見られるように、これはスパム メッセージを作成し、base 64 エンコーディング でエンコードする単純なマルウェアです。 検出を回避します。

コーディングの脆弱性

SQLi、XSS、RCE などのコーディングの脆弱性は、WordPress のハッキングによるスパム送信につながる可能性があります。攻撃者は、これらの脆弱性を利用して WordPress サイトを侵害し、正当なファイルに悪意のあるコードを挿入する可能性があります。 index.php のようなファイル 、functions.php 、themes.php などは、これらのコーディングの脆弱性により、スパムを送信する悪意のあるコードを挿入される可能性があります。

関連ガイド – WordPress マルウェアの除去

サーバーの脆弱性

サーバーの構成に誤りがあると、攻撃者がサイトを使用してスパムを送信できるようになる可能性があります。たとえば、SMTP 接続にポート 25 を使用すると、サーバーがスパマーの標的になる可能性があります。一部の ISP はポート 25 をブロックしているため、代わりにポート 587 を使用してください。これを防ぐには、サブネット化を使用します。インデックス作成が有効になっている、ポートが開いているなどの他のサーバーの構成ミスも、WordPress のハッキングによるスパム送信につながる可能性があります。

関連記事:Astra で WordPress スパムボットを防止

WordPress ハッキング送信スパム:検出

多くの場合、悪意のある PHP スクリプトは、WordPress がハッキングされてスパムを送信する原因となっています。このようなスクリプトの検出と削除は、スパムの削除を意味します。したがって、それらを追跡するには、管理者権限でサーバーにログインすることから始めてください。

ステップ 1

管理者権限を取得したら、送信メールのキャプチャを開始します。

ステップ 2

スパム メールを捕捉するには、まず、すべての情報を記録できるファイルを作成します。これは次のコマンドで実行できます:

touch /var/log/phpmail.log

phpmail.log 作成したばかりのファイルは書き込み可能です。これを行うには、次のコマンドを実行します:

chown httpd:httpd /var/log/phpmail.log

ステップ 3

このファイルが作成されたら、次のコマンドで Apache サーバーを再起動します:

service httpd restart

ステップ 4

これらの電子メールは、次のコマンドを使用して取得し、ログ ファイルに保存できるようになりました:

tail -f /var/log/phpmail.log

-f 尻尾のオプション ここでコマンドを実行すると、すべてのログ データが phpmail.log に保存されます ファイル。ログ ファイルの内容は、下の画像のようになります。

この画像では、スパムメールを送信する原因となっているファイルが最初の行に表示されています。これは functions.php です 感染したWordPressのファイル。スパム送信スクリプトの特定に成功しました。次に、それを削除します。

関連ガイド – WordPress ハックの除去

WordPress ハッキング送信スパム:クリーンアップ

スクリプトが特定されたら、それを開いてコードを調べます。通常、攻撃者は base64 エンコーディングや FOPO などの手法を使用してコードを隠そうとします。参照用に、判読できないと思われる画像に示されているコードを見てください。

難読化を解除すると、このコードは以下の画像のコードのようになります。したがって、デコードすると、eval() 関数 文字列を PHP コードに処理するものは、攻撃者がスパムを送り込むために使用されていました。

したがって、その使用はコードの品質に悪影響を及ぼします。したがって、そのような悪意のあるコードをすべて削除してください。ただし、何をしているのかわからない場合は、その行をコメントアウトして、専門家に連絡してマルウェアの削除を依頼してください。感染したファイルを削除して、新しいファイルに置き換えることもできます。ただし、そのような場合、.htaccess のようなファイルがあるため注意が必要です。 サーバーの動作に不可欠です。最後に、クリーンアップ後、サーバーが再送信しようとしている MTA キューに残っているすべてのスパム メッセージを削除します。これは、次のコマンドで実行できます:

sudo postsuper -d ALL

sudo postsuper -d ALL deferred

WordPress ハッキング送信スパム:緩和

Astra のようなセキュリティ ソリューションは、WordPress サイトをあらゆる種類のスパムから 24 時間 365 日保護できます。 Astra はトラフィックを積極的に監視して、あらゆる種類の着信または発信スパムをブロックします。最も重要なことは、Astra は、WordPress の個人ブログでさえ、価格がわずか 25 ドルからと非常に手頃な価格であることです。 WordPress および CMS のような WordPress 用に特別に構築された Astra は、スパムを削除し、スパムから保護することができます。