Kei's Way@Nepal

読者です 読者をやめる 読者になる 読者になる

僕はネパールを変えることができない。

~ネパール在住青年海外協力隊が贈る、生き方に悩む20代が前に一歩踏み出したくなるブログ~

WEB知識ゼロの僕がWordpressからはてなブログへの移行で参考にした記事まとめ

f:id:kei-lmnop:20160610000809p:plain

 

ナマステ!

はてなブログを使う前、僕は今までWordpressでブログを書いていました。
しかし、ある日突然の閉鎖に追い込まれ、はてなブログへ移行してきました。

www.keikawakita.com

今はこうしてはてなブログでブログを書けていますが、本当に大変でした。
僕はWeb関連の知識ゼロ。
そんな僕がはてなブログに移行する際に参考にさせてもらった記事をまとめました。

僕が陥った症状の詳細:Wordpressが不正アクセスで抹消

まずは僕が陥ってしまった症状の詳細を説明します。
Wordpressのセキュリティ対策が甘かったため、脆弱性を突かれて不正アクセスが発生。
それによって、403アクセス制限がかかり、ログインすらできなくなりました。

どういう状態か一言で言うと、記事は消さずに残る(データベースは無事)。
ただ、画像、プラグイン、テーマなどWordpressそのものに入ってる情報はすべて初期化する必要がありました。

ちなみにXserverさんからはこんなメールが来ました。

お客様のサーバーアカウントにおいて、
セキュリティ関連機関である「JPCERT」から、
運用中のウェブサイトが改ざんされている旨の
報告が寄せられました。

▼報告のあったURL
-------------------------------------------------------
http ://●●●
http ://●●●
http ://●●●
http ://●●●

※不正なコード等が挿入されている可能性があるため、
 上記URLへ直接アクセスなさいませんよう、ご注意ください。

不審なソースコード情報:
type="text/javascript" src="http ://g00.co/P4YrUf"
等の文字列が埋め込まれています。
------------------------------------------------------


これを受け、当サポートにてセキュリティ調査を行いましたところ、
お客様がご利用のプログラムにセキュリティ上致命的なバグ(脆弱性)が存在し、
当該脆弱性を第三者に悪用されてしまった可能性が非常に高い状況でございました。


そのため、事後のご案内となり大変恐縮でございますが、
緊急措置として下記制限を実施しております。

▼サポートにて実施した制限内容
-------------------------------------------------------
・当該ドメイン名に対する緊急的なWebアクセス制限を実施

 ※上記処理に伴い、Webアクセスを行うと403エラーとなる状況です。
-------------------------------------------------------


スパムメールの大量送信やフィッシングサイトの開設などの
『不正アクセス』によるさらなる被害の発生を防ぐため、
上記対応を実施しましたことを何卒ご了承くださいますようお願いいたします。

 復旧手順についてもこんなメールをいただきました。

■目次■
-------------------------------------------------------------
【1】サポートにて実施したセキュリティ調査について
【2】Webアクセス制限の解除方法について
【3】お客様に行っていただきたい対応内容について
【4】推奨される設定について
-------------------------------------------------------------


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【1】サポートにて実施したセキュリティ調査について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

不正アクセスの根本原因は下記2つのパターンに大別されます。

▼不正アクセスの根本原因
------------------------------------------------------------
(1)お客様が運用中のプログラムにおいてセキュリティ上問題のある
 致命的なバグ(脆弱性)が存在し、第三者に脆弱性を利用された。

 →該当プログラムが「どんなコマンドでも実行可能」である場合、
  該当プログラムを経由して不正なコマンドの実行や、
  不正なファイルの設置が行えてしまいます。

(2)お客様のサーバーアカウントに関するFTP情報が流出し、
 第三者に不正にFTP接続をされた。

 →FTP操作自体によるファイル改ざんはもとより、
  任意のプログラムを設置することでどんなコマンドでも実行できてしまいます。
------------------------------------------------------------

お客様のサーバーアカウントにおいては不審なFTPアクセスが見られないことから、
消去法的なご案内となりますが、お客様が運用中のプログラムに脆弱性が存在し、
該当脆弱性を悪用されてしまった可能性が高いものと思われます。



━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【2】Webアクセス制限の解除方法について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

次項【3】の [2] に記載しております「ドメイン設定の初期化」を行って
いただくことで、Webアクセスの凍結が自動的に解除され、
該当ドメイン名へのWebアクセスが可能になります。

 ************************************************************
  この度のような不正アクセスの被害に遭われた場合、
  不正なファイルやバックドア(不正アクセスを容易とする仕組み)などが
  設置されている可能性が考えられます。

  そのため、凍結の解除にあたっては、当該ドメイン名に存在する
  すべてのファイルを削除していただくようお願いしております。
 ************************************************************



━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【3】お客様に行っていただきたい対応内容について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

お客様のPCや運用中のサイトのセキュリティ対策は
お客様ご自身にて管理を行っていただく責任がございます。

この度の不正アクセスについて、原因を根絶し、不正に設置されたファイルや
改ざんされたファイルをサーバーアカウント上から完全に駆逐するため、
大変お手数ですが、下記作業をなさいますようお願いいたします。

───────────────────────────────────
[1] ご利用のPCにてセキュリティチェックを行ってください。
----------------------------------------------------------------------

 お客様のご利用PC端末にてセキュリティソフトを最新版に更新していただき、
 ウイルスチェックと駆除をおこなってください。

 また、Windows UpdateやAdobe Reader、Flash Playerなどの
 ご利用PC端末にインストールされているソフトウェアにつきましても、
 最新版へ更新してください。

 ※本件はプログラムの脆弱性に起因する不正アクセスの可能性が高い状況では
  ございますが、念のため上記ご確認をお願いいたします。


───────────────────────────────────
[2] 該当ドメイン名を「初期化」してください。
----------------------------------------------------------------------

 「サーバーパネル」→「ドメイン設定」→該当ドメインの「初期化」と
 アクセスしていただき、「ウェブ領域・設定の初期化」をご選択のうえ、
 該当ドメイン名を初期化してください。

 ※上記作業により、該当ドメイン名のウェブ領域に設置された
  すべてのファイルが削除されます。

  画像、プログラム、設定ファイルなどの必要なデータは
  事前にバックアップを取った上でドメイン名を初期化してください。

 ※上記作業による、データベースの初期化・削除はございません。


───────────────────────────────────
[3] FTPソフトによるデータアップロードなど、
  ホームページ再開のための作業を行ってください。
----------------------------------------------------------------------

 凍結時点のデータは不正に改ざんされているデータを含む可能性や
 セキュリティ上問題がある可能性がございます。

 再発防止のため、セキュリティ上問題のない、改ざんされていないクリーンな
 データをアップロードなさいますようお願いいたいます。

 ※CGIプログラムをご利用の場合はパーミッションの変更にご注意ください。


───────────────────────────────────
[4] 該当ドメインにて設置されていたプログラムにおいて、
  脆弱性の調査を必ず行ってください。
----------------------------------------------------------------------

 不正アクセスの原因を明確にした上で、
 ホームページの運用を再開なさいますようお願いいたします。

 ※不正アクセスの原因を特定しないままホームページを再開した場合、
  再度同様の被害に遭う可能性が非常に高くなってしまいます。


 ◆「WordPress」や「Joomla!」などのCMSツールをご利用の場合、
  脆弱性が発表されていない最新バージョンを必ずご利用ください。
  旧バージョンのCMSツールには、脆弱性が報告されているケースが
  非常に多くございます。

  また、プラグインやテーマファイルにつきましても、
  最新のものを新規にインストールしていただくことを推奨いたします。

───────────────────────────────────


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【4】推奨される設定について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

お客様のウェブサイトにてPHPプログラムをご利用の場合、
サーバーパネルの「php.ini設定」にて
「allow_url_fopen」および「allow_url_include」をいずれも
「無効(Off)」にすることを強くお勧めいたします。

◇マニュアル:php.ini設定
 https://www.xserver.ne.jp/man_server_phpini_edit.php


※上記設定項目は「外部ファイルを読み込む/実行する」操作に対する可否設定です。

 ご利用のプログラムにより、上記それぞれの設定を「On」にする
 必要がある場合もございますが、外部からのデータ読み込み等が必要ない場合、
 これら設定は無効にしたうえでプログラムをご運用ください。


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


なお、今後、同様の状況が再度確認された場合、
さらなる制限を実施する可能性がございます。

不正アクセスによる被害の発生・再発を防ぐための措置でございます。
何卒ご理解くださいますようお願いいたします。



以上、何卒よろしくお願い申し上げます。
ご不明な点などございましたら、お気軽にお問い合わせください。

 

(0)Wordpress復旧・はてなブログ移行手順確認と閉鎖前のブログ状態確認

Xserverさんからはご丁寧なメールが来ましたが、よく分からなかったので色々探しました。
もう少し具体的な手順が載っているページを調べました。
参考にしたのは以下の記事です。

復旧完了!WordPressサイトがマルウェア(ウィルス)に感染し、Googleからアクセス拒否、レンタルサーバーからウェブアクセス凍結のお知らせ。 | SwinginThinkin

WordPressの「インポート/エクスポート」を使ってサイトをバックアップし復元する – ブログ工房

【最新版】WordPressからはてなブログに移行する方法まとめ - Awesome

要点をまとめて、簡単に説明するとこんなことをやらねばいかんことが分かりました。

・Wordpressを初期化し、記事データを抽出する
・その記事データをはてなブログに入れる
・残ったWordpressブログには301リダイレクトをかけて、自動ではてなブログの同じ記事のリンクを飛ばす

ちなみに、閉鎖前の自分のブログを見たい場合はこちらがいいですよ。

megalodon.jp

 

(1)Wordpress内の画像ファイルをすべてダウンロードし、バックアップ

初期化する前に、Wordpress内に保存してあった画像をすべてダウンロードします。
以下の記事の手順を見ながら、FFFTPで画像をダウンロードしました。
ネパールのネット環境にはこれが酷で、300記事分の画像を落とすのに、丸2日間かかりました。 

僕の場合、Wordpressはリダイレクトをかけるだけなので、特にテーマやプラグインはダウンロードしませんでした。
もし必要ならこちらもダウンロードしてください。

WordPress初心者でも簡単にできるバックアップ方法

(2)Wordpressを初期化し、再度インストール

画像のバックアップが取れたら、いよいよ初期化です。
僕の場合は「ドメインの初期化」だったので、Xserverさんのマニュアルに従ってやりました。

ドメインの初期化 - マニュアル | レンタルサーバー 高速・高機能・高安定性の【エックスサーバー】

続いて、手動でWordpressをインストールします。
マニュアルに書いてある、MySQLの設定は不要です。既存のデータベースを利用するので。

その上で『MySQLデータベースに接続するための情報を入力』の項目で利用していたデータベース名、データベースユーザー名、パスワード、ホストを入力してください。

パスワードを控えてない場合はサーバーパネル『MySQL設定 > MySQLユーザ一覧』より新しいパスワードを設定した上で、そのパスワードをインストールウィザードでも入力します。

WordPress 日本語版 | レンタルサーバー 高速・高機能・高安定性の【エックスサーバー】

ちなみにこの通りやってもうまくWordpressが表示されません(笑)
なので僕はここで一番苦労しました。
この記事に本当に助けていただきました。ありがたい。

WordPressのサイトアドレスURLを変更する方法 | アクセスセオリー

(3)Wordpressで記事データをエクスポート

次は今まで書いてきたWordpressのブログ記事をデータで抽出します。
300記事以上あったので、一括ではダウンロードできず。
半年ごとに分割してダウンロードしました。

WordPress から はてなブログ に引っ越す場合の注意点(反面教師的な意味で)。 - ガジェレポ!

(4)はてなブログを開設・独自ドメイン取得

ここまで来たらやっとはてなブログ開設に取り掛かります。
ブログ開設は死ぬほど簡単だったので何も見ませんでした。

独自ドメインはちょっとてこずりましたが、この記事通り、お名前.comで取りました。

【最新版】WordPressからはてなブログに移行する方法まとめ - Awesome

(5)はてなブログでGoogle Analytics、Search Consoleを登録

続いてブログ分析に必要なAnalytics,Search consoleを入れます。
アドセンスは僕はやっていないので設定しませんでした。

はてなブログにグーグルアナリティクスを導入する方法【Google Analytics】 - ネットの海の渚にて

はてなブログにSearch Console(ウェブマスターツール)を導入しよう - NO TITLE

(6)Wordpressブログの記事をはてなブログでインポート

これが終わったら、いよいよ記事をはてなブログにインポート。
上手くできない人もいるみたいですが、僕は運良く何もトラブルなくインポートできました。

WordPress から はてなブログ に引っ越す場合の注意点(反面教師的な意味で)。 - ガジェレポ!

(7)Wordpressでプラグイン「Simple 301 Redirects」で301リダイレクト設定

またまたWordpressに戻り、プラグイン「Simple 301 Redirects」をインストールします。
これにより、301リダイレクトができます。
これは住所変更みたいなもので、Wordpressの記事のURLに入ってきた人を自動ではてなブログの同じ記事に飛ばすという設定です。

こうすればせっかくWordpressに来てくれた読者さんをがっかりさせずにすみます。

Wordpressからはてなブログへの引っ越しに伴うURL変更と301リダイレクト - kur.jp

このプラグインは非常に便利ですが、設定をしくじると、Wordpressでログインできなくなりますのでお気をつけて!

Simple 301 Redirectsの設定ミスで管理画面に入れなくなったのでDB復旧させた話 | あすへん! 〜薙月の明日への変化〜

僕は見事にこれをやっちまい、Wordpressのデータベースをいじくりました。
ああー怖かった。

(8)Fetch as GoogleでWordpress内を再度クロール

ちゃんと301の設定ができたのに、僕の場合、検索流入が明らかに減りました。
おかしいと思ってSearch consoleで調べると、Wordpressの記事のうち、150記事が404エラーになっていました。

不正アクセスでアクセス制限がかかったときに、Googleが404エラーと判断したようです。
よって、Fetch as Googleで1記事ずつ再度ページをチェックしてもらいました。
恐ろしく時間がかかりましたが、結果、全ての記事で301設定ができてアクセスも戻りました。

Fetch as Google を使ってGoogle への再クロールを依頼する方法

 

(9)画像をはてなブログにアップし、一枚一枚すべての記事に差し込み

さあ、最後です。
一番最初にWordpress初期化前に画像をダウンロードしました。
これをはてなブログにアップロードします。

記事移行みたいに、一発でできればいいのですが残念ながらそんな方法はなく。
一応やり方はあるみたいですが、さっぱり理解不能でした。

父親のブログをWordPressからはてなブログに移行した - あんパン

ってなわけで300記事全部に1つずつ写真を入れていきました。
毎日15記事ずつやって無事復旧が終わりました。
恐ろしく疲れました…

まとめ

いやーめちゃくちゃ大変でした。。
もう二度とやりたくないですね、これは。
Wordpressをやるなら、生半可な気持ちではできないですね。

皆さんもWordpressのセキュリティ対策には十分お気をつけてくださいね。
では!