【緊急・必ず読んで!】プラグインAd Invalid Click Protector (AICP) を使っている人は要注意!
※当ブログではプロモーション広告を利用しています。
MEGA式アフィリエイトを実践中の生徒さんが、ハッキングされました!
プラグインAd Invalid Click Protector (AICP)が原因で侵入されていることがわかりました。
※MEGA式のマニュアルでは、Ad Invalid Click Protector (AICP)は推奨していないのですが、誤って設定してしまったとのことです。
Ad Invalid Click Protector (AICP)の最新バージョン1.2.9に悪意のあるプログラムが仕込まれており、管理者権限を持つユーザーが自動で作成され、パスワード(ログイン情報)を第三者に送信されていました。
Ad Invalid Click Protector (AICP)を設定している方は、今すぐ確認してください。(アドセンス運用の方に多いかもしれません)
こちらの動画にもまとめていますので、ご確認ください!!
要注意!Ad Invalid Click Protector (AICP)
うちの生徒さんの場合、ご自身のブログにログインしてみたら、ご本人以外には居ないはずの「管理者権限のユーザー」が2名も、知らないうちに追加されていたそうです。(めちゃ怖すぎる!)
また、上記のプラグインを通して、テーマのfunctions.phpファイルに「add_footer_script」という関数名の難読化スクリプト(悪意のあるプログラム)が追加されていいる可能性があるので、functions.phpファイルを確認し、手動での削除が必要です。
「WordPress.org プラグイン審査チーム」からのメッセージ
以下、WordPress.org プラグイン審査チームから、生徒さん宛てに届いたメッセージを転載します。
コミュニティから「Ad Invalid Click Protector (AICP)」プラグインが侵害されたとの報告がありました。
私たちが調査したところ、このプラグインは最近のアップデート(バージョン 1.2.9)で管理者権限を持つユーザーを作成し、そのパスワードを第三者に送信していたことが確認できました。
これは重大なセキュリティ問題である可能性があるため、私たちはこのプラグインを引き継ぎ、そのようなアクションを実行するコードを削除し、そのコードによってこのサイトに作成されたユーザーのパスワードを自動的にリセットしました。
このプロセスで作成されたユーザーがこのサイトで発見されたため、このメッセージを表示しています。
また、テーマのfunctions.phpファイルに「add_footer_script」という関数名の難読化スクリプトが追加されている可能性があります。これは自動的には削除されず、手動での削除が必要です。
ハッカーに侵入された場合の対応策
万が一、ご自身や契約している外注さん以外の「許可していないユーザー」が登録されていたら?
- 不要なユーザーは即刻削除
- ブログ(WordPress)のログインパスワードを変更(パスワードジェネレータなどで、難易度の高いランダムな文字列のパスワードを推奨します)
- プラグイン「SiteGuard WP Plugin」にてログインURLを任意の文字列のURLに変更
- 二要素ログイン用プラグインの導入
など、すぐに対策を取ってください!
ログインパスを書き換えられてしまったら、あなたがログインできなくなってしまうので、迅速な対応が必要です。
二要素ログイン用プラグインのすすめ
ハッキング対策には、二要素ログインプラグイン「miniOrange 2 Factor Authentication」の設定をおすすめします。
「二要素ログイン」は「二段階ログイン」と異なり、ログインに「2つの要素」が必要になります。
miniOrange 2 Factor Authenticationを設定することで、
- WordPressのログインメアドとパスワード
- スマートフォンアプリで表示される承認コード
上記2点がないと、ログインができなくなります。
WordPressのメアドとパスワードを突破できても、スマートフォンアプリが必要ですので、あなた以外には、「承認コード」を発行できないため、非常に強力なセキュリティとなります。
手順は、
1)プラグイン、miniOrange 2 Factor Authenticationをインストール・有効化
2)二要素(承認コードの発行ツール)の設定
ダッシュボード左メニュー→設定→miniOrange 2 Factor Authentication→「Google Authenticator」を選んで設定
3)スマホにAppストア・GooglePlayからGoogle Authenticatorアプリをダウンロード
2)で設定した、「miniOrange 2 Factor Authentication」のQRコードを、スマホの「Google Authenticatorアプリ」で読み込んで(下図)、「Google Authenticatorアプリ」に表示されている認証コードを、「miniOrange 2 Factor Authentication」に入力(下図③)すれば、紐づけ完了。
ログイン時に、通常通り、メアド、パスワードを入れたのち、「miniOrange 2 Factor Authentication」から、承認コードを要求され、あなたのスマホの「Google Authenticatorアプリ」に表示された承認コードがなければ、先に進めずログインができなくなります。
ハッカーの侵入を確実に食い止めたい方は、「miniOrange 2 Factor Authentication」の二要素ログインをぜひ導入してみてください。
注意
「miniOrange 2 Factor Authentication」を「SiteGuard WP Plugin」と同時に使用すると、不具合が起き、ログインできない無限ループに陥りました。(汗)
「miniOrange 2 Factor Authentication」での二要素ログインを設定したら、必ず「SiteGuard WP Plugin」は無効化(OFF)にしておきましょう。
不具合が起きた場合、私ではサポートできませんので、仕組みをよく理解して、自己責任にてお取組みください。
以上、セキュリティを強化し、ハッカーから大切なブログを守りましょう!
メルマガご購読は下記バナーをクリック
↓↓↓
スマホのキャリアメールアドレスおよびoutlook、hotmailでのご登録は、メルマガがお届けできません!
確実に受け取りたい方は「Gmail」でのご登録を強くお勧めします。
コメントフォーム