ある日、自分のワードプレス(WordPress)ブログを見てみたら、「記事のテキストやリンクが、身に覚えのない海外の怪しいサイト(カジノやブランド偽サイトなど)に勝手に書き換わっている!」という事態に遭遇してしまいました……。
備忘録になりますが、
今回のトラブルの症状と対応法をまとめると以下になります。
- 起きた症状:
記事の表側の表示だけがスパムリンクの羅列に上書きされ、その記事だけ管理メニューが表示されなくなる(※元の正しい記事内容は編集画面に残っていました)。 - 不審な原因:
見覚えのないプラグイン(wp-drmintegration~)と、wp-content直下のpgsという謎のフォルダが勝手に作られていた。 - 解決方法:
不審なプラグインとフォルダを両方削除すれば復旧するが、その後フォルダが2回も復活した。そのため、セキュリティプラグイン「Wordfence Security」を使って裏口(バックドア)の完全駆除を実施した。
サイト全体が壊れているわけではなく、特定ページだけの症状なので本当に気が付きにくいですし、「え、ブログが乗っ取られた!?」と焦ってしまいますよね。
今回は、専門知識がなくてもAI(GeminiやChatGPTなど)やプラグインの力を借りて、復旧させた手順をまとめました。同じ現象で困っている方の参考になりましたら幸いです。
トラブル概要:記事が上書きされている
まず改めて症状から。
- 投稿記事の本文が スパムリンクだけの羅列 になった
- ブラウザやログイン状態に関わらず同じ表示になる
- ログインしていると、通常上段に管理メニュー(編集など)が表示されるが、その記事だけ、それが表示されない
- ログインした後⇒投稿⇒そのページの編集に入ると、元の記事内容は問題ない
元の記事は残っているのに、
実際に記事を表示してみると全然違うリンク集が表示されるという現象です。
サイト全体ではなく、特定ページだけの症状なので、これは本当に気が付きにくいです。私が気が付いたのも、自分でサイトをパラパラ見ていた時、偶然その記事を見たからでした。
原因と解決(復旧内容のまとめ)
今回の原因と、解決のために取り除いたもののまとめです。
| 見つかった原因 | 具体的な内容と対処 |
| 見覚えのないプラグイン | wp-drmintegration-downloadandunzipfile という名称のプラグイン⇒ 削除しました |
| 不審なフォルダ | wp-content 以下にあったpgs という不思議なフォルダ ⇒ 削除しました |
結果として、プラグインと「pgs」フォルダの削除で無事に正常表示に戻りました!
(※参考:pgsフォルダの削除だけでは表示は戻りませんでした)
記事内容の上書きだったので、テーマファイルの中の functions.php や .htaccess ばかりを疑って、そうした点を集中して調べたため凄く時間がかかってしまいました。
「ワードプレスで何かあれば、まずプラグインを疑え」という鉄則をすっかり忘れてました ^-^;)
原因を特定するためにやったこと
トラブルが起きたとき、単体の問題なのか、それともテーマやサーバーが原因なのかを調べるために私が切り分けた内容を表にまとめました。
| 切り分けの項目 | 具体的に確認したこと |
| ① AIへの相談 | ChatGPTに相談:問題の現象を可能な限り具体的に詳細に伝え分析してもらった(分析に基づいて1つ1つチェック) |
| ② ユーザー状態 | ログアウト状態での表示確認、ブラウザのシークレットモード/別のブラウザでの表示でも確認 |
| ③ テーマ要因 | 子テーマ functions.php の読込チェック、親テーマ single.php / content.php の呼び出し位置チェック |
| ④ キャッシュ要因 | キャッシュ用のプラグイン(WP Fastest Cacheを使ってます)の無効化での確認 |
| ⑤ サーバー側要因 | .htaccessの内容確認 |
この中で、知識がないと何が何だかさっぱり、っていうものもありますよね。
functions.php や single.php、.htaccess の内容を見て、何か不審な点があるかどうかをチェックする……という作業ですが、以前はトラブルがあれば、ネットで検索しながら色々必死に調べてました。
でも今では、内容をコピペしてChatGPTなどAIに投げれば、解析してくれるので凄く楽。
今回はまずGeminiに相談して、ぱっと見、分かりづらい回答が来たので、ChatGPTに乗り換えて質問してみました。こちらの方が分かりやすかったので、そのままChatGPTを使って問題解決しています。
もちろんGeminiでもそのまま続けていれば、同様な道のりを経て解決できたと思います。好みの問題ですね。
再発防止のために(消しても復活する恐怖への対策)
実は、「pgs」フォルダを削除しても復活する場合があります。
私の場合、なんと実に2回も復活しました。
そうならないよう、「wordfence」など、
セキュリティ系のプラグインで、より詳しくチェックしておくのが良いですね。
私の場合の参考例ですが、
上で見た対処が終わってからの数か月後のこと。
突然Xサーバーから「不正なアクセスが急上昇していたので...」という連絡があり、それで「pgs」フォルダの1回目の復活が発覚しました。
「不正なFTPアクセスは確認できませんが...」という情報も添えられていて、こちらで調べた限り不正ログインもありませんでした。
でも念のためログインPWを変えたり、.htaccess、index.php などの内容を確認したり(AIに投げて確認してもらった)、不審なフォルダやファイルがないかなどもAIに確認してもらったり、個人的には「これ以上はもう無理!」というぐらいにチェックをしました。
(その中で、不審なファイルなどはAIに相談しながら削除したりしてます)
一旦は「これでもう大丈夫そう」と思いましたが、実はバックドア(不正操作の入り口)が残っていたようで、その1か月後、またしても「pgs」フォルダが復活。
なにかもう「なんでぇ~」みたいに愕然としましたが、人の目で探したり、それをAIに確認してもらったりするのには限界があることも分かりました。
そこで、「wordfence」というセキュリティでは定評のあるプラグインを使って、サーバー上のファイル(ワードプレスの全ファイル)をスキャンして調べるということをしました。
すると、何か所か不正なコードが入っていることが確認されたんですね。
つまりチェック漏れということになりますが、「ここまでは流石に見れないでしょ!」みたいな場所にコードが追加されている箇所もあったりと、本当に「最初からこれ使っておけばよかったな」と思えるプラグインです。
※このプラグイン、私は無料版で使ってますが、それで十分かも、という感じです。また自動スキャンという機能もあって、定期的にスキャンしてチェックしてくれて、何かあればメールで通知してくれます。これならまた再発したり、その他不正なコード書き換えなどがあってもすぐ分かりますね!
補足とポイント
今回のトラブルを経験して、改めて感じたポイントのまとめです。
ワードプレスのトラブルを自分で解決しようとすると、つい難しく考えてしまいますよね。
私も最初は .htaccess などのサーバー側ばかりを疑ってしまいましたが、基本はやっぱり「まず不審なプラグインやフォルダがないか」をチェックすることが大切だなと思います。
参考までにですが、ファイル内容のチェックをAIにお願いするときは、以下のように指示を出すと、初心者でも分かりやすい精度の高い回答が返ってきやすくなると思います。
■AIへの具体的な指示(プロンプト)の例:
ワードプレスの記事が勝手に怪しい海外サイトに上書きされるトラブルが起きています。
今からワードプレスの〇〇というファイルのコードを貼り付けるので、
不審な記述や、悪意あるコード(バックドアなど)が仕込まれていないか、
専門知識がない私にも分かるように優しくチェックしてください。こんな風に条件を指定してあげてからコードを貼り付けると、AIが「ここが怪しいです」「これを削除してください」とピンポイントで教えてくれます。
何かあったら活用してみてくださいね。
今回のトラブルでは変なフォルダが2回も復活してますが、定評のある「Wordfence Security」などのプラグインを活用するのが、結果的に一番の近道かもしれません。
同じような症状で困っている方の参考になれば幸いです。
コメント