WordPress リダイレクト ハックの修正 – 別のサイトへの WordPress サイト リダイレクト [2022]

あなたの WordPress Web サイトはユーザーを未知の悪意のあるサイトにリダイレクトしていませんか?もしそうなら、あなたのウェブサイトはハッキングされている可能性があります。有名な WordPress リダイレクト ハックは、ハッカーによって最も悪用される WP ハッキングの 1 つです。これが非常に悪用されているのには理由があります。詳細については以下をご覧ください。

WordPress リダイレクト ハックのバリエーションと症状

疑わしいドメインへの「WordPress ハッキング リダイレクト」は、新しいハッキングではありません。何年にもわたって、ハッカーはこのウイルスを進化させ、より巧妙で検出しにくくしています。 WordPress リダイレクト ハックのバリエーション:

ハックの種類	症状
従来のリダイレクト ハック	ハッキングされたリダイレクトは、最も長い間存在しています。誰かがあなたのウェブサイトにアクセスするたびに、製薬サイトやアダルト サイトなどの疑わしいリンクにリダイレクトされます。
検索結果によるリダイレクト	ブラウザに URL を入力して Web サイトを開くと、問題なく開きます。しかし、Google で検索して開くと、悪意のある Web サイトにリダイレクトされます。
デバイス固有の WordPress リダイレクト	ウェブサイトは、存在するマルウェアの種類に応じて、モバイル デバイスから開いた場合にのみリダイレクトするか、デスクトップから開いた場合にのみリダイレクトします。
プッシュ通知のハッキング	ハッカーがブラウザのプッシュ通知を訪問者に表示するという事例は、過去数か月から確認されています。通常、これらのプッシュ通知はポルノ Web サイトを指しています。
地域固有のリダイレクト	場合によっては、リダイレクトが表示される訪問者とそうでない訪問者がいる場合があります。これは、特定の地域でのみ機能するようにハッカーがマルウェアをプログラムしたことが原因である可能性があります。マルウェアがリダイレクトする正確な場所も、ハッカーによって地理的に調整される可能性があります。

WordPress ハッキング リダイレクトの症状:

<オール>

スパムまたは悪意のある Web サイトへの明らかなリダイレクト

あなたのウェブサイトの Google 検索結果がスパムだらけ

あなたのウェブサイトでの身元不明のプッシュ通知

index.php ファイル内の悪意のある JavaScript コード

.htaccess 内の未確認のコード

人による確認画面にリダイレクトする WordPress サイト

意味不明な名前のサーバー上の未確認ファイル

不審な bit.ly リンク:これは、ハッカーが使用する新しい手口です。ハッカーは bit.ly を注入しています これは、リダイレクトを引き起こす実際の悪意のある URL の短縮バージョンです。通常、セキュリティ スキャナーはフラグを立てません。

現在、WordPress サイトが travelinskydream[.]ga、track.lowerskyactive、outlook のフィッシング ページなどのリンクにリダイレクトされるケースが確認されています。

WordPress スパム リダイレクト:WordPress Web サイトはどのように感染しましたか?

実を言うと、ハッカーがこのハッキングを実行するために使用する方法は十数以上ある可能性があります。その一部を以下に示します:

最近のリダイレクト ハック – WordPress サイトが digestcolect [.] com にリダイレクトする

プラグインの脆弱性を悪用する (XSS)

WordPress プラグインのストアド クロスサイト スクリプティング (XSS) などの脆弱性により、ハッカーが悪意のある JavaScript コードを Web サイトに追加できるようになります。ハッカーはプラグインが XSS に対して脆弱であることを知ると、そのプラグインを使用しているすべてのサイトを見つけてハッキングしようとします。 WordPress Live Chat Support や Elementor Pro などのプラグインは、このようなリダイレクト ハッキングの標的となっていました。

.htaccess にコードを挿入する または wp-config.php ファイル

サイトのマルウェアをスキャンするとき、多くの場合 .htaccess と wp-config.php ファイルは無料のセキュリティ プラグインによって無視されます。製薬会社の Web サイトにリダイレクトする WordPress サイトでは、不正なコードが .htaccess に追加されていることが確認されています。 通常のコードを装ったファイル。ハッカーは、右にスクロールしない限り、ファイルに隠されているこのコードを見つけることさえできないような方法でコードを配置します。これにより、そのようなリダイレクト ハックを特定して削除することがより困難になります。これら 2 つのファイルとは別に、functions.php などのすべての WordPress コア ファイルも確認する必要があります。 、 header.php 、 footer.php 、 wp-load.php 、 wp-settings.php など

お客様の Web サイトでマルウェアをスキャンしたところ、.htaccess に次のコードが隠されていることがわかりました。 ファイル。ウェブサイトの訪問者をスパムや危険な医薬品のウェブサイトにリダイレクトします。

サイト ヘッダーに JavaScript を挿入する

一部のプラグインとテーマでは、<head> にコードを追加できます または </body> の直前 鬼ごっこ。これは、Google アナリティクス、Facebook、Google 検索コンソールなどの JS コードを追加するのに役立ちます。このような機能は、WordPress サイトのリダイレクトのためにハッカーによって悪用されています。

検索を困難にするために、悪意のある Web サイトの URL は多くの場合、文字列形式からそれぞれの文字コードに変換されます。変換後のコードは次のようになります:

自分自身をゴースト管理者として wp-admin に追加する

プラグインに権限昇格の脆弱性があるため、ハッカーがゴーストまたは偽の管理者ユーザーをサイトに作成する可能性があります。ハッカーが管理者になると、Web サイトへのフル アクセスを取得し、サイトにバックドアとリダイレクト コードを追加します。

WordPress リダイレクト感染の場所

コア WordPress &テーマ ファイル

攻撃者は、WordPress のコア ファイルにコードを挿入することで Web サイトに感染する可能性があります。これらのファイルに悪意のあるコードがないか確認してください:

• index.php
• wp-config.php
• wp-settings.php
• wp-load.php
• .htaccess
• テーマ ファイル (wp-content/themes/{themeName}/ ) <オール>
• footer.php
• header.php
• functions.php

すべての JavaScript ファイル

リダイレクト マルウェアの一部の亜種は、すべての JavaScript (.js) Web サイト上のファイル。これには、wp-include の JS ファイルが含まれます。 、プラグイン、テーマ フォルダなど。通常、同じ難読化されたコードが各 JS ファイルの先頭に追加されます。

WordPress データベース

wp_posts と wp_options テーブルは、WordPress データベースで最もターゲットにされたテーブルです。スパム サイト リンクと JS コードは、多くの場合、各記事またはページで見つかります。

フェイク favicon.ico ファイル

一部のマルウェアは不正な favicon.ico を作成します またはランダム .ico 内部に悪意のある PHP コードを含むサーバー上のファイル。この悪意のある PHP コードは、URL インジェクション、管理者アカウントの作成、スパイウェア/トロイの木馬のインストール、フィッシング ページの作成など、Web サイトで危険なアクションを実行することが知られています。

関連ガイド – WordPress ハックの削除

サーバーをスパムファイルで汚染します。これらのファイルには、本物のアイコン イメージ コードではなく、悪意のあるコードが含まれています。そのようなファイルをロードするために使用されるコードの一部を以下に示します:

@include "\x2f/sg\x62/fa\x76ico\x6e_54\x656ed\x2eico";

WordPress リダイレクト ハック – WordPress のリダイレクト マルウェアのスキャン:

マルウェア スキャン プロセスを開始するには、まず、サイトが直面しているリダイレクト ハッキングの種類を特定する必要があります。上記の手順を参照してこれを行ったら、悪意のあるコードを実際に見つけてサイトから削除する必要があります.

自動化されたマルウェア スキャン ソリューションを選択するか、手動のアプローチに進むことができます。サイトから悪意のあるリダイレクトを削除し、リダイレクト ハッキングを防止するために実行できる手順を次に示します。

1. WordPress マルウェア スキャナーを使用する

それほど技術に詳しくない WordPress ユーザーにとって、Astra などのマルウェア除去ソリューションは、サイトを壊すことなく WordPress リダイレクトの問題を見つけ、除去し、修正する最も速くて簡単な方法です。

サイトを手動でスキャンし、直面しているリダイレクト ハッキングの種類に基づいて解決策を見つけたい場合は、前述の各手順に従ってください。

2.オンライン セキュリティ スキャン ツールで確認

事前チェックとして、Astra の無料の Security Scanner や Google Safe Browsing などのツールを使用してサイトをスキャンできます。サイトにブラックリストに登録された URL へのリンクがある場合、これらのツールによって警告が表示されます。また、サイトで見つかった悪意のあるコード スニペットの短いリスト (すべてを網羅しているわけではありません) も表示されます。詳細なスキャンを行うには、すべての Web サイト ファイルを手動でスキャンするか、マルウェア スキャンを実行する必要があります。

3. WordPress コア ファイルの整合性を確認する

WordPress のコア ファイルに悪意のあるコードが挿入されているかどうかを確認するには、WP-CLI を使用してファイルの整合性チェックを実行します。このようなチェックを実行するには、次の手順に従ってください:

<オール>

SSH 経由でサーバーにログイン

WP-CLI をインストールする

WordPress がインストールされている場所にディレクトリを変更します
cd /var/www/html/

次のコマンドで現在の WordPress を確認します
wp core version

次のコマンドを実行して、チェックサムが元の WordPress リリースと一致しないファイルのリストを取得します
wp core verify-checksums

上記のコマンドの出力を見てください。いくつかの警告は問題ありません。ただし、コア ファイルがチェックサムと一致しない場合は、コア ファイルを置き換えるか、バックアップを復元する必要があります。

元の CMS ファイルと実際のファイルの違いを視覚的に確認するには、Astra でコア ファイルの整合性スキャンを実行します。

4.隠されたバックドアとリダイレクト コードを削除

ハッカーは通常、サイトに戻る方法を残します。通常、バックドアは正当なファイルと同じように名前が付けられたファイルに存在します。

eval などの一般的な悪意のある PHP 関数について、Web サイトのファイルを手動で検索できます。 、 base64_decode 、 gzinflate 、 preg_replace 、 str_rot13 、 eval これらの関数は、正当な理由で WordPress プラグインでも使用されることに注意してください。そのため、誤ってサイトを壊さないように、必ずバックアップを取るか、助けを求めてください。

5.新しい管理者ユーザーが追加されたかどうかを確認します

WordPress 管理エリアにログインし、ゴースト/不明な管理者ユーザーが追加されていないか確認します。ハッカーは定期的に自分自身を管理者として追加するため、サイトへのアクセスを維持し、リダイレクト ハックを削除した後でもサイトを再感染させます。

そのようなユーザーを見つけた場合は、すぐにアカウントを削除し、他のすべての管理者アカウントのパスワードを変更してください。

その際、(ウェブサイトの要件に応じて) 「誰でも登録可能」というメンバーシップ オプションが無効になっており、「新しいユーザーの既定の役割」オプションがサブスクライバーに設定されていることも確認してください。

6.プラグインとテーマ ファイルをスキャン

偽の脆弱なプラグインをチェック

左パネルの「プラグイン」をクリックして、サイトにインストールされているすべてのプラグインを表示します。不明なプラグインがあれば削除してください。

アップデートが利用可能なプラグインについては、最近のセキュリティの問題が見つかったかどうか、WordPress プラグインの変更ログを確認してください。また、上記の手順 4 で説明したように、バックドアとリダイレクト コードのプラグイン ファイルをスキャンします。

オンライン ツール (差分チェッカーなど) を使用して、プラグイン ファイルを元のファイルと比較します。これを行うには、WordPress プラグイン リポジトリから同じプラグインをダウンロードし、インストール済みのプラグインとこ​​れらを照合します。

ただし、これには一連の制限もあります。複数のプラグインを使用するため、すべてのファイルを常に比較できるとは限りません。また、リダイレクト ハッキングがゼロデイによるものである場合、プラグインの更新が利用できない可能性があります。

7.データベースで悪意のあるリンクを検索

バックドアを見つけるために行ったように、WordPress データベースを手動で検索して、一般的な悪意のある PHP 関数を見つけることができます。 phpMyAdmin や Adminer などのデータベース管理ツールにログインします。サイトで使用されているデータベースを選択し、<script> などの用語を検索します 、 eval 、 base64_decode 、 gzinflate 、 preg_replace 、 str_replace など

スペースなどの小さな変更でも、サイトの読み込みや機能が正常に機能しなくなる可能性があるため、変更を行う前に十分に注意してください。

WordPress ハッキング リダイレクト:ウェブサイトをクリーンアップする方法

サイトをスキャンして悪意のあるコードを特定したので、それを削除する必要があります。

<オール>

Web サイトのファイルとデータベースのバックアップを取ることから始めます (感染している可能性があります)。

悪意のあるファイルを表示して隔離できるように、サーバーにログインします。 cPanel 内で提供されるファイル マネージャー、または (s)FTP や SSH などの従来の方法を使用できます。

前の手順でフラグが付けられたファイルを編集します。ファイル内のマルウェア ビットを特定し、コードを削除します。ファイル全体に悪意がある場合は、ファイル全体を削除できます。

同じ悪意のあるコードを含むファイルが複数見つかった場合は、find を使用できます。 &sed SSH 経由の Linux コマンド。変更を元に戻すことはできないため、これらを使用する際は十分に注意してください。

例：
find /path/to/your/folder -name “.js” -exec sed -i “s//ReplaceWithMalwareCode*//n&/g” ‘{}’ ;

すべてのファイルとデータベースが消去されたら、ウェブサイトのキャッシュを消去することを忘れないでください

プライベート ブラウジング/シークレット モードでウェブサイトにアクセスして、サイトがリダイレクトされなくなったことを確認します。

リダイレクト ハッキングを防止しますか?

Web サイト ファイアウォールとマルウェア スキャナーを含む受賞歴のある Astra の Web サイト保護ソリューションを使用すると、WordPress リダイレクト ハックだけでなく、バ​​ックドア、ウイルス、トロイの木馬などからも Web サイトを徹底的にスキャンして十分に保護できます。

リダイレクト マルウェアは非常に蔓延しているため、リダイレクトのハッキングを修正するための詳細なステップバイステップ ビデオを作成しました。ハッカーは、セキュリティ企業の目に留まらないように常に手法を更新し続けていますが、根本的な原則は同じです。

また、WordPress Web サイトで望ましくないポップアップを修正する方法についての詳細なガイドを確認してください

WordPress の悪意のあるリダイレクト:まとめ

ハッカーは常に手口を進化させ、世の中には知られていない脆弱性を悪用し、さまざまなエクスプロイトを組み合わせてハッキングを作成しています。ハッキングを取り除くことは一部ですが、ハッキングされないようにするためには、Astra のセキュリティ スイートのような、より恒久的なものが必要です 🙂