ある日、私はいつも通りに自分のブログを「グーグルアナリティクス」でチェックしていました。
上の写真は、ブログをやっていれば誰もが知っている「グーグルアナリティクス」のリアルタイムユーザーの画面です。
あれ・・?
なんか・・、変じゃね??
全く知らない記事のURLが表示されています。
こんなURL、全然知りません。
アナリティクスでは、たまにプレビューページやデザインページみたいのが表示されていたりするけれど、このURL、明らかにおかしいです。
この時、私のブログは、乗っ取りに遭っていたのです。
しかも、当時は開設したばかりだったこともあり、自分の記事よりも乗っ取りの記事の方がアクセスが多くて、頭にきます。
ほんと、腹立つわ~!!
ブログ乗っ取り、対処法や結論から書く
この話は、ワードプレスの話です。
私は、ワードプレスでブログをもう一つ運営していて、そちらの方で乗っ取りに遭いました。
これから経過を書きますが、同じような目に遭って、急いで検索した方がいるかもしれませんので、対処した話から書きます。
全て検証したり裏を取ったわけではないのですが、原因は、パスワードを突破されて不正にインストールされたプラグインでした。
対処として、新しくワードプレスを立ち上げて、記事を全部移し、プラグインも入れ直しました。
(その作業の中で、原因がプラグインだと判明)
そして、パスワードなどもすべて変更・・・。
中にはすべて乗っ取られて、記事も改ざんされ、ログインすらもできなくなったりするみたいですが、幸運にも、私の場合はそれではありませんでした。
同じような現象でこのブログに訪れた方は、プラグインを確認してみてください。
因みに今回被害に遭ったプラグインの名前は〇〇〇-popupです。
(100%これとは言い切れないので、一部伏字とさせていただきます。)
記事まで改ざんされると、もう、元記事は残らないみたいだから辛いですよね・・。
血の涙流しながら書いた記事だというのに・・。
結構時間がたったので記事にしましたが、当時は頭が真っ白に。
ネット銀行や証券口座も確認し、全て色々変更しました。
ワードプレスのパスワードなんて、今20桁超えてますからね・・。
「この恨み、晴さでおくべきか・・。」
ワードプレスが乗っ取られるまでの経緯
その現象は、ある日突然起こりました。
私は、自分のブログのリアルタイムのアクティブユーザーを逐一チェックしているし、読まれている記事もチェックしています。
ブログをやっていない人に説明すると、アナリティクスとは、『自分のブログにどのルートでどれくらいの人が来ていて、何の記事が読まれているのか等』を解析するツールの事です。
アナリティクスなどの解析ツールでは、現在何人が自分のブログに訪れていて、何の記事が読まれているのか、分かるようになっています。
そこに、変な英語の記事のURLがいくつも表示されています。
え・・、こんな記事書いた覚えはないんだけど。
中には、〇ィズニーとか、〇ターウォーズといった単語が読み取れるものもありました。
こんなの、絶対おかしいでしょ!!
ウィルス??
乗っ取り??
なりすまし??!
電気関連に弱い私でも、さすがにこれはまずいと気づきます。
わが子のように大事にしているブログの危機!!
っていうか、これ、よくわからないけど、私犯罪の片棒担いでるんじゃないの??!
検索から自分のブログへ訪れてみた
とりあえず、検索から私は自分のブログに訪れてみる事にしました。
しかし、どこを探しても、表示されているような記事は見当たりません・・。
何かにくっついて他の記事が入ってきたのなら、ブログのトップページからその記事が見つかると思ったのです。
でも、そんなのは見つかりませんでした。
調べてみたけど、中には記事を全部改ざんされたり、サイト全体がエロサイトになっていたり、広告だけのサイトに変わっていることもあるようです。
・・・、考えただけでも恐ろしい・・・。
じゃあ、表示されているこの記事たちは、一体何なんだろう・・・。
実際に記事のサイトへ行ってみた
こうなったら、表示されているURLへ行って確認するしかありません。
何なの?
この記事は。
注意!
このように、『一体何なのか』と思わせて、ブログの主にサイトを訪問させる手口もあるようです。
迂闊に訪問すると、訪問先でウィルスに感染する可能性もあるので、ご注意ください。
訪問は、自己責任で・・・。
実際に訪問してみると、 人気ヒーローシリーズなどのフィギュアを扱っているような、海外の通販サイトでした。
商品を見てみると、私も大好きな、とあるSFシリーズのお姫様もいました。
それはいくつもいくつもあり、記事(というかサイト)ごとに取り扱っているホビーなどは違う様です。
しかし、どのページもチープなつくり。
・・・イラつくわ・・・。
グーグルの検索画面には英語のタイトルが表示されていましたが、ブログタイトル名は私のブログ名(もちろん日本語)、ドメインも私のもの。
全く心当たりはありません、あるはずありません!
英語だし(# ゚Д゚)
海外のサイトなので、検索画面に上がっているほかの記事も全て英語のタイトルです。
キモッ!こわ・・・。
ほんと、腹たつわ~・・・!
キャッシュには私のドメインが表示されてはいるものの、実際サイトを訪れるとどこかへリダイレクトされているようです。
これ・・、本気で詐欺サイトになってるじゃん。
何故ブログは乗っ取られたのか??!心当たりはパスワード
これは、全て対処した後から気づいた事なんですが、私のブログはちょっと前から新しいプラグインが追加できなくなっていて、『おかしいな?』とは思っていたんです。
それで、色々調べていた所でした。
よくよく調べたら、プラグインを外すメニューも使えなくなっていましたので、この時点で『ちょっとプラグインがおかしいのでは?』とあたりをつけました。
結局それは、不正にインストールされたプラグインにロックされていたという事らしいのですが、とにかく夜逃げ状態でブログを引っ越したので、正確には分かりません。
この様な乗っ取りの手口は、マルウェアをスパムメールに入り込ませるとか、海外コメントを承認すると権限が勝手に譲渡されるなど色々あるようです。
で、今回は、多分一番スタンダードな「パスワードの突破」により、引き起こされたようです。
めんどくさがりの私は、ワードプレスを立ち上げた時に仮のつもりでつけた脆弱なパスワードの変更をしていませんでした。
詳しくは言えませんが、簡単に突破できるようなやつです。
ゾロ目4桁とか。
それで、パスワードを突破されて不正にインストールされたプラグインが、私のブログの中にもうひとつのサイトを作っていたのです。
もっと簡単に言うと、私のサイトの中に、隠しサイトがあったってことです。
何でこんな面倒なことをするのか ?
乗っ取られたことに気づいた私は上記で簡単に書いたように対処したのですが、敵は一体なぜこんなことをするのでしょうか??
ワードプレスのパスワード突破を趣味にしていたり、競っているような集団もあるみたいですが、多くは直接詐欺サイトをやると足がつきやすいので、間に私のような善良で弱小なサイトを入れて、ワンクッション置いてから詐欺サイトに転送させるのです・・。
私のサイトは、一瞬でも本当に詐欺の片棒を担いでいたわけですよ・・。
そんなの放置していたら、グーグルの評価が下がるどころか、最悪捕まるかもしれない所でした。
その後・・インデックス削除などはしたのか??
その後ですが、ウェブの検索画面上にはしばらく詐欺の記事達は残っていました。
ただし、クリックをすると、私のブログへ飛び、「お探しの記事は見つかりませんでした。」というお返事が返ってきます。
グーグルの404ではなくて、私のブログの404です。
私のブログから記事が削除されたという扱いになるので、クリックすると、私のブログに来ることになります。
いちいち私のブログが表示されるのが気に入らないですが、私のブログの中に裏サイトがあったのだから、仕方ありません。
インデックスの削除依頼はしなかった。
当時、検索画面に残ったインデックスから私のサイトへ来る人が多かったので、該当記事のインデックスの削除依頼も考えていたのですが、やめました。
詐欺URLの記事数が多かったこともありますが、グーグルのヘルプ画面に「乗っ取りに遭った場合などで、インデックスの削除依頼はしないでください。」みたいなことが、書いてあったからです。
クローラーが訪れた時に404(ページが無い事のエラーコード)だった場合は、自然にインデックスから削除されるから、削除依頼はしないでねというニュアンスでした。
何だかもやもやしましたが、神様の言う通りという事で、削除依頼やノーインデックスの依頼をするのはやめました・・・。
そして、乗っ取り後の現在・・・
ブログを乗っとられて暫く・・・・・。
変な記事URLは、アナリティクスに表示されなくなりました。
表示されなくなるまでには、およそ1か月くらいかかりました。
もう、表示される度にびびって、いちいち 見に行ってしまっていましたよ。
2度とこんな事は御免です。
私のワードプレスのパスワードは、今20桁を超えています。
証券会社などのパスワードも、全て変更。
記事の入れ替えはすんなりいったものの、作業忘れや諸々あって、入れ替え当時は不具合も続出でした。
トラブル続きの私のワードプレス。
こういった面では、はてなは安心できますね。
皆さんも、パスワード管理やセキュリティには、十分お気を付けください。
くそぅ、にっくき海外サイトめ・・・。
読んでいただき、ありがとうございました。