感染前安全状態へのシステムリストア手順

復旧ポイントの特定と安全性の確認

• ログやファイル更新日を詳細に調査し、ウイルス感染や不正アクセスが確実に発生していない最後の日時を特定する
• 特定した復旧ポイントのバックアップデータ自体が汚染されていないか、隔離された環境でウイルススキャンを実行する
• 感染の起点となった脆弱性が解消されていることを確認し、復元直後に再感染するリスクを排除する
• 復旧に必要なファイル一式とデータベース、設定ドキュメントがすべて揃っているかを確認する

現行環境のクリーンアップ

• 感染の痕跡やバックドアを残さないよう、サーバー上の既存ファイルをすべて削除し、ディレクトリを完全に初期化する
• データベース内に不正なスクリプトや身に覚えのない管理者ユーザーが残っていないか、テーブルを一旦削除する
• サーバー会社が提供する初期化機能を利用し、OSやミドルウェアのレベルからクリーンな状態に戻すことを検討する
• ネットワークから遮断した状態を維持し、外部からの再攻撃を受けない環境を整える

バックアップデータの展開と復元

• 信頼できる保管場所から、感染前の正常なファイル群を安全な通信経路を用いてサーバーへアップロードする
• データベースのダンプファイルをインポートし、投稿内容や設定値を正常な時点の状態に書き戻す
• 復元された設定ファイル内の接続情報が、現在のサーバー環境と一致しているかを確認し、必要に応じて修正する
• 大容量のデータを展開する際は、転送エラーや容量不足による中断が起きていないかを監視する

セキュリティパッチの即時適用と設定変更

• システムを公開する前に、感染の原因となったプラグインや本体の脆弱性を最新バージョンへアップデートする
• すべての管理者アカウントのパスワードを、以前とは全く異なる強力な文字列に変更する
• 二段階認証の再設定や、ログインURLの変更といった追加の防御策をこの段階で実施する
• サーバー側のWAFや国外IP制限などの防御ツールを有効化し、攻撃の入り口を塞ぐ

動作検証と監視体制の強化

• サイトの主要な機能が正常に動作し、データの欠落や表示の崩れがないかを網羅的に点検する
• 復元後、一定期間はファイル改ざん検知ツールやアクセスログを頻繁に確認し、再侵入の兆候がないかを監視する
• 検索エンジンのインデックスが不正な内容に書き換わっていないか、サーチコンソール等で状況を確認する
• すべての安全が確認された段階でネットワーク制限を順次解除し、通常の運用状態へ移行する