WordPressがマルウェアに感染した際、多くの方が「バックアップデータがあるから大丈夫」と考えます。
しかし、実は「バックアップを書き戻しただけ」では、数日以内に再発してしまうケースが後を絶ちません。
バックアップデータで表面上のファイルは元に戻せても、サーバー内に潜む「攻撃の火種」までは消し去れないからです。
今回は、バックアップ復旧だけでは不十分な4つの具体的なケースと、完全復旧に必要なチェックポイントをわかりやすく解説します。
目次
1.そもそも、バックアップに含まれるデータとは?
一般的なWordPressプラグインで取得できるデータは、主に以下の2つです。
- WordPress関連のファイル(テーマ、プラグイン、アップロード画像など)
- データベース(MySQL)のデータ(記事本文、設定情報、ユーザー情報など)
もし攻撃が「WordPressファイルの改ざん」や「データの書き換え」だけで完結していれば、これらを戻すだけで復旧は完了します。しかし実際の攻撃では、バックアップ対象外の領域にまで被害が及んでいることがほとんどです。
2.バックアップだけでは復旧できない、「再発」の原因
具体的には、以下のようなバックアップ対象外の領域への攻撃が、再発を引き起こしているのです。
1. WordPress管理外のフォルダに仕込まれたマルウェア
サーバー内には、WordPress以外のフォルダ(静的HTMLサイトのデータやメール関連、一時保存用フォルダなど)が存在します。 攻撃者は、バックアップ対象にならない、こうした見落とされやすい場所にもマルウェアを設置します。
そのため、WordPressだけを復元しても、別の場所に隠されたマルウェアから再び感染を広げられてしまうのです。
★対処方法
WordPressフォルダだけでなく、サーバー全体(全ディレクトリ)を対象にマルウェアスキャンを実施し、見つかったマルウェアをすべて駆除しましょう。
2. サーバー上の常駐プロセス(常駐型マルウェア)
サーバー上で動作し続ける「常駐プロセス」が仕込まれるケースも非常に多く見られます。このプロセスが動いている限り、以下のような被害が続きます。
- 除去したマルウェアファイルの自動復元
- 外部からのサーバー遠隔操作(バックドア)
- 個人情報・機密データの外部流出
- 第三者サイトへの攻撃の踏み台
★対処方法
動作中のプロセスを一覧で確認し、不審なプロセスを強制停止します。
また、停止処理実行後に、プロセスが再起動されていないかを確認することも重要です。
3. 不正なcron(クーロン)
常駐プロセスを停止させても、一定時間経過後には復活していることがあります。これは、サーバーで処理を定期実行する仕組みである「cron」に、マルウェアを起動する命令が書き込まれていることが原因です。
★対処方法
サーバーに登録されているcron設定をすべて点検し、見覚えのないcronジョブを削除しましょう。
レンタルサーバーによっては、管理画面上にcronの設定変更機能が用意されている場合があります。ただし、こうした外部から不正に登録されたcronは、管理画面上からは除去できないケースも多々あります。
上記のようなケースでは、viコマンドを使って直接cronファイルを書き換える作業が必要となります。
4. 不正なSSHアカウント
SSHはネットワーク越しにサーバーを操作するための仕組みです。
侵入に成功した攻撃者は、自分専用のSSHアカウントを作成することがあります。このアカウントが残っていると、マルウェアを完全除去したとしても、攻撃者はいつでもサーバーに再侵入できてしまいます。
★対処方法
SSHアカウントの一覧を確認し、不正なユーザーを削除します。さらに、海外IPからのSSH接続を遮断する設定の追加も検討しましょう。
まとめ:完全な復旧には「サーバーエンジニア」の視点が必要
バックアップからの復旧は、あくまで復旧作業の「第一段階」に過ぎません。
完全復旧のためには、以下の確認が不可欠です。
- サーバー全体のウイルススキャン
- 不審な実行プロセスの特定
- cron(定期実行タスク)の確認
- SSHアカウントの確認
これらの作業には、サーバーコンソールでのコマンド操作が必要となります。
万が一操作を誤ると、サイト全体が停止するリスクもあるため、社内に専門のエンジニアがいない場合は、プロへの依頼を強くおすすめします。
WPPLUSセキュリティサービスでは、セキュリティに精通したサーバーエンジニアが、上記の視点を踏まえた「根本的な駆除」まで一気通貫でサポートいたします。
大切なサイトとお客様の信頼を守るために、まずは一度ご相談ください。
