サイトが勝手に
別のページに飛ばされる原因
自分のサイトにアクセスしたら、見知らぬサイトにリダイレクトされた—— これはリダイレクトハッキングと呼ばれるマルウェア感染です。 訪問者を詐欺サイトやマルウェア配布サイトに誘導するため、放置するとGoogleからペナルティを受けます。
管理者が気づきにくい理由
リダイレクトハッキングの厄介な点は、管理者には正常に見えることです(感染の兆候を確認する方法)。 攻撃者は以下のような条件分岐を使い、管理者のアクセスではリダイレクトを発生させません。
- 検索エンジン経由のアクセスのみリダイレクト(直接URLを入力した場合は正常表示)
- モバイルユーザーのみリダイレクト(PCからは正常表示)
- 初回アクセスのみリダイレクト(2回目以降はCookieで判定して正常表示)
- 管理者のIPアドレスからのアクセスはリダイレクトしない
リダイレクトコードが仕込まれる場所
.htaccessファイル
最も多い感染箇所。RewriteRuleやRewriteCondを使って、特定の条件(モバイルユーザー、検索エンジン経由のアクセス等)でリダイレクトを発生させる。
確認方法:サイトルートの.htaccessを開き、見覚えのないRewriteRuleがないか確認する。正規のWordPressの.htaccessは数行程度。
wp-config.php
設定ファイルの先頭や末尾にリダイレクトコードが挿入される。base64エンコードされていることが多い。
確認方法:wp-config.phpを開き、eval()、base64_decode()、gzinflate()などの関数呼び出しがないか確認する。
テーマのfunctions.php / header.php
テーマファイルにJavaScriptのリダイレクトコードが挿入される。window.location.hrefやdocument.location等。
確認方法:有効なテーマのfunctions.phpとheader.phpを確認する。特にファイルの先頭と末尾に不審なコードがないか。
データベース(wp_optionsテーブル)
siteurl、home、またはウィジェットの設定にリダイレクトコードが埋め込まれる。ファイルを全て確認しても原因が見つからない場合はここを疑う。
確認方法:phpMyAdminでwp_optionsテーブルのsiteurl、home、active_pluginsの値を確認する。
wp-includes/内の改ざん
WordPress本体のファイル(特にwp-includes/js/やwp-includes/version.php)にコードが挿入される。
確認方法:WordPress公式からダウンロードした同バージョンのファイルと比較する。
復旧の基本手順
サイトをメンテナンスモードにする
訪問者が詐欺サイトに誘導されるのを止める。
上記5箇所を順番に確認し、不審なコードを削除する
.htaccess → wp-config.php → テーマファイル → データベース → wp-includes/の順に確認。
WordPress本体を公式から再インストールする
wp-admin/とwp-includes/を公式の同バージョンで上書きする。
全パスワードを変更する
WordPress管理画面、FTP、データベース、サーバーパネルの全て。
Googleにインデックスの再審査を依頼する
Search Consoleから「セキュリティの問題」を確認し、修正済みとして報告する。
リダイレクトが止まらない場合は
複数箇所に感染している場合、全てを見つけて駆除するのは困難です。プロに任せてください。
マルウェアの不安を 今すぐ解消しませんか?
リバースハックはWordPress専門のセキュリティチームです。 マルウェア駆除から再発防止まで、ワンストップでサポートします。 まずはお気軽にご相談ください。
※ 相談は無料です。お見積もりだけでもお気軽にどうぞ。
この記事をシェア