WordPress リダイレクト マルウェアを阻止する:スパム リダイレクトのクイック フィックス

WordPress Web サイトまたは管理ダッシュボードがスパム Web サイトにリダイレクトされる場合、Web サイトはリダイレクト マルウェアによってハッキングされています。 

では、サイト上の WordPress がハッキングされたリダイレクト マルウェアに対して何ができるでしょうか? 

まず、Web サイトをスキャンして、実際にハッキングが行われているかどうかを確認します。 

覚えておくべき重要なことは、ここでは時間があなたの親友であるということです。悩んで時間を無駄にしないでください。このハッキングは完全に修正可能であり、サイトをクリーンアップすることができます。ただし、迅速に行動する必要があります。

私たちはこのハッキングに何千回も遭遇してきました。 悪意のあるリダイレクトを削除するための正確な手順を説明します。 サイトから削除し、ウェブサイトを修正して、同じことが二度と起こらないようにします。

TL;DR: Web サイトをスキャンして、サイトがスパム サイトにリダイレクトされるのを防ぎます。 WordPress リダイレクトハックにはいくつかの亜種があり、その根本に到達するのはイライラするかもしれません。この記事は、マルウェアを段階的に見つけてすぐに駆除するのに役立ちます。

WordPress リダイレクト ハックについて理解する

WordPress のハッキングによるリダイレクトは、悪意のあるコードが Web サイトに挿入されると発生し、訪問者が自動的に別の Web サイトに誘導されます。通常、リンク先の Web サイトは、グレーマーケットの医薬品、違法サービス、または訪問者から個人情報を盗むことを目的としたフィッシング攻撃用に設計されたサイトなど、スパム的なものです。

この動作を引き起こすマルウェアにはさまざまな種類があるため、WordPress マルウェア リダイレクト ハッキングは、主な症状である悪意のあるリダイレクトを指す包括的な用語です。 

リダイレクト ハッキングから回復するには 4 つの手順があります:

• サイトをスキャンしてマルウェアがないか確認する
• リダイレクト ハッキング マルウェアを駆除する
• ハッキングによって生じた損害を回復する
• 今後のリダイレクト ハッキングによるサイトの妨害を防ぐ

この種のハッキングは何百万もの Web サイトに影響を与え、毎日ひどい損失を引き起こします。ウェブサイトは収益、ブランディング、SEO ランキングを失い、回復のストレスは言うまでもありません。

ただし、ハッキングの最悪の点は、状況がどんどん悪化することです。マルウェアは、Web サイトのファイルやフォルダー、さらにはデータベースを介して広がり、自分自身を複製し、Web サイトを使用して他の Web サイトに感染します。

ウェブサイトを保存することが最優先です。今すぐサイトをスキャンすることでそれを行うことができます。 

ステップ 1:スパム リダイレクトがないかサイトを詳しくスキャンする

MalCare の無料オンライン スキャナーを使用すると、サイトにスパム リダイレクトがあることを 100% 確認できます。

WordPress Web サイトがハッキングされたリダイレクト マルウェアの亜種が多数確認されているため、MalCare をお勧めします。

非常に一般的なのは、Web サイトがモバイル デバイスでアクセスされた場合で、これは .htaccess ファイル内にマルウェアが存在することを示しています。あるいは、私たちがよく目にするのは、ページを自動的にリダイレクトするハッキングです。これは、データベースにマルウェアが存在する場合に発生します。 実際には、WordPress がハッキングされた直接マルウェアは Web サイトのほぼどこにでも存在する可能性があります。 

さらに、多くのスキャナーは異なるフラグを立てたり、マルウェアを完全に見逃したりすることもあります。たとえば、Quttera は次のようにマルウェアにフラグを立てます:Threat name: Heur.AlienFile.gen

そして WordFence は、次のような不明なファイルの束に対してアラートを表示します。

* WordPress コアの不明なファイル:wp-admin/css/colors/blue/php.ini
* WordPress コアの不明なファイル:wp-admin/css/colors/coffee/php.ini
* WordPress コアの不明なファイル:wp-admin/css/colors/ectoplasm/php.ini

これらは、Web サイトがハッキングされたことを示す良い兆候です。後で説明するように、/wp-admin フォルダーには WordPress インストールのコア ファイル以外には何も入ってはいけません。 

ただし、残念ながら、これはスキャンには役に立ちません。結局のところ、未知のファイルには何でもあります。カスタムコード、誰か？

全体として、他の WordPress マルウェア スキャナーの動作方法には、検出メカニズムの仕組みに大きな問題があります。誤検知、ファイルの欠落、その他多くの問題。

ウェブサイトは重要なので、賢明に選択してください。

サイトのマルウェアをスキャンするその他の方法

オンライン セキュリティ スキャナーを使用する

オンライン セキュリティ スキャナーはいくつかありますが、セキュリティ プラグインほど完全ではありません。

Sucuri SiteCheck を例に挙げてみましょう。これを使用して、WordPress がハッキングされたリダイレクト マルウェアのチェックを実行するのは非常に簡単です。ただし、オンライン セキュリティ スキャナまたはフロントエンド スキャナは、ページと投稿内のコードをスキャンしてマルウェア スクリプトを探すことしかできません。

これらのページにはハッキングされたリダイレクト マルウェアが多数存在しますが、コア ファイルにはいくつかの亜種が存在します。フロントエンド スキャナではこれらはまったく表示されません。 

オンライン セキュリティ スキャナーを第一線の診断ツールのように使用します。肯定的な結果が得られた場合は、それが肯定的であると信じて、ハッキングの解決に向けて取り組むことができます。陰性であることが判明した場合は、フロントエンド スキャナーでスキャンされない場所を手動で確認できます。こうすることで、関連する手作業の一部を省略できます。

マルウェアを手動でスキャンする

マルウェア スキャナ プラグインを使用してハッキングされたリダイレクト マルウェアをスキャンしている場合は、このセクションを完全にスキップできます。 MalCare のような優れたセキュリティ プラグインは、以下で提案していることを正確に実行しますが、はるかに高速かつ優れています。 

Web サイトでマルウェアをスキャンするということは、基本的にファイルとデータベース内のジャンク コードを探すことを意味します。 「ジャンク コード」は指示として役に立たないことはわかりますが、亜種があるため、すぐに見つけてハッキングがあると宣言できる単一の文字列はありません。 

ただし、次のセクションでは、お客様の Web サイトで確認されたマルウェアの例をいくつかリストしました。その後のセクションでは、見られるリダイレクト動作に応じて、マルウェアが挿入される一般的な場所について説明します。

WordPress リダイレクト マルウェアはどのようなものになる可能性があるか

WordPress がハッキングされたリダイレクト マルウェアには多くの亜種が存在します。

したがって、「これを探してください」と言える標準的なマーカーはありません。また、マルウェアは時間の経過とともに大きく変化するため、この記事を書いている時点では劇的に変化している可能性があります。

これらはせいぜい参考程度であることに留意して、私たちが確認したもののいくつかは次のとおりです。

• コードは、ページヘッダーのどこか、または wp_posts テーブルのすべてのページに配置される可能性があります。以下にいくつかの例を示します。

• wp_options テーブルの site_url に見慣れない URL が含まれる可能性があります。これらは、私たちが最近見たいくつかの例です。

• スクリプトは難読化することもできます。つまり、実際のコードを抽出するには、オンラインの難読化解除ツールを介してスクリプトを実行する必要があります。 

難読化されたコード

そしてそれが実際に何を意味するのか

• 偽のプラグインを開くと、次のようなファイルが含まれる場合があります

• モバイル固有のリダイレクトは、.htaccess ファイルの変更を示します。以下のコードは
にリダイレクトします。

リダイレクト マルウェアを探す場所

WordPress は、ファイルとデータベースという 2 つの主要な部分に分かれています。ハッキングされたリダイレクト マルウェアの問題点は、それがどこにでも存在する可能性があることです。 

Web サイトのコードをいじることに慣れている場合は、次の場所で前述のリダイレクト コードを探すことができます。ウェブサイトのバックアップをダウンロードします（両方のファイル） とデータベース —疑わしい追加物を探すため。 

繰り返しになりますが、クラシック、状況別、デバイス固有などのバリエーションが存在することに留意してください。 または連鎖リダイレクトさえあります。 。コードはそれぞれ異なり、場所も異なります。

A.ウェブサイト ファイル

<オル>

コア WordPress ファイル: 最も簡単な /wp-admin から始めます。 および /wp-includes WordPress の新規インストールとまったく変わらないはずです。 index.php、settings.php についても同様です。 と load.php ファイル。これらは WordPress のコア ファイルであり、カスタマイズによって変更が書き込まれることはありません。 WordPress を新規インストールした場合と比較して、違いがあるかどうかを確認します。

.htaccess ファイルは特殊なケースです。 モバイル リダイレクト ハッキング ほとんどの場合、このファイルに表示されます。使用するデバイスに応じて動作を決定する useragent ルールを探し、そこにリダイレクト スクリプトがあるかどうかを確認します。

アクティブなテーマ ファイル: 複数のテーマがインストールされている場合 (最初からこれは良い考えではありません)、アクティブなテーマが 1 つだけであることを確認してください。次に、header.php、footer.php などのアクティブなテーマ ファイルを確認します。 とfunctions.php 奇妙なコードの場合。

これを確認する良い方法は、開発者サイトから初期のインストールをダウンロードし、コードをそれらのファイルと照合することです。通常、これらのファイルは特定の形式であると考えられているため、ジャンク コードが目立ちます。ただし、カスタマイズするとコードも変更されることに注意してください。

また、null のテーマやプラグインを使用している場合は、ここで診断を停止できます。これらが原因でハッキングされたことを保証できるためです。

ウェブサイト上の偽のプラグイン: はい、これは事です。ハッカーは、マルウェアを可能な限り正規のものに見せかけることで、マルウェアを偽装します。 wp-content/plugins に移動します。 フォルダを開いて見てください。インストールしていないものはありますか?奇妙な重複はありますか？フォルダー内にファイルが 1 つまたは 2 つしかない人はいますか?

最近見た例:
/wp-content/plugins/mplugin/mplugin.php
/wp-content/plugins/wp-zzz/wp-zzz.php
/wp-content/plugins/Plugin/plug.php

たくさんのプラグインがインストールされている場合、それらをすべて確認するのは大変なことです。偽のプラグインを識別するための経験則は、慣例により、正規のプラグイン名が大文字で始まることはめったになく、その名前にはハイフンを除く特殊文字が含まれていないということです。これらはルールではなく、慣例です。したがって、偽物を明確に識別するために、これらを重視しすぎないでください。

プラグインが偽物であると疑われる場合は、Google で検索し、WordPress リポジトリから元のバージョンを探してください。そこからダウンロードし、ファイルが一致するかどうかを確認してください。

B.データベース

<オル>

wp_posts 表:悪意のあるスクリプトはすべてのページに存在することがよくあります。しかし、前にも述べたように、ハッカーは狡猾なところが多いです。ハッキングが存在しないと判断する前に、投稿の適切なサンプルを確認してください。

ページと投稿のコードを確認するもう 1 つの方法は、ページのソース を確認することです。 ブラウザを使用して。 Web サイトの各ページには HTML コードがあり、ブラウザーによって読み取られます。ページのソースを開いて、ヘッダー、フッター、および