WordPress は危ない?!

勝手に作られたindex.phpファイル
勝手に作られたindex.php
現在利用しているさくらインターネットのクイックインストールで、WordPress が簡単にインストールできるので使ってみました。使い心地は悪くはなかったのですが、一ヶ月ほど経ったある日に自サイトが表示されていないことに気がつきました。えっ!って感じです。

その上 WordPress は開けるものの、ダッシュボードから投稿一覧・新規投稿などをクリックすると 403 Forbidden となってしまいます。WordPress はサブディレクトリにインストールし、サイトのトップページが www ディレクトリにある構造なんですが、トップページの index.html ファイルが消え、代わりに右上図のような index.php なるファイルが勝手に作られています。
この.htaccessが命令を出してる?
しかもサイトアドレス以下に実在しないファイル名を付け加えてアクセスすると、お皿とか DVD の通販のページが表示されます。え~っ!です。

詳しく見てみると、WordPress のディレクトリに左図のような .htaccess ファイルが出来上がっていました。このファイルに書かれたコマンドによって index.html が消え index.php ファイルが作られたようです。このファイル内の文字列で検索すると、今回わたしが遭遇した状態とほとんど同じ目に合われた国内・国外の方々の体験談的なサイトがいくつも出てきます。
勝手に作られたabout.phpファイル
これらふたつのファイルとは別に、右図のような about.php というファイルも自動的に作られていました。

WordPress 自体に脆弱性があるのか、さくらインターネットがクイックインストールで提供している WordPress に問題があるのか? 海外の同じ被害にあわれた方々の報告が多数あることを考えると、さくらインターネット特有の事象ではなく、やはり WordPress 自体の脆弱性に起因しているのかもしれません。

結局 WordPress の使用は諦め、さくらインターネットのクイックインストールの削除機能を使って削除し、残骸は FFFTP を使ってすべて削除。これでファイルが消えたり勝手に作られたりする現象は起きなくなりました。ブログはシックスアパートの古い Movable Type を使っていたのですが、データベースのMySQLの方のバージョンも古くなっていたのでこの際両方とも新しいバージョンに置き換えました。最初からこの方法にすれば良かったと今になっては後悔しています。