悪意のあるリダイレクト マルウェア ハッキングから回復する方法

悪意のある攻撃者の最も一般的な戦術の 1 つは、トラフィックを別のサイトに誘導する目的で悪意のあるリダイレクト マルウェアをサイトに追加することです。 これは、サイトの所有者だけでなく、サイトの訪問者にとっても有害です。 悪意のあるリダイレクトは、多くの場合、疑いを持たないサイト訪問者をスパム サイトや、ユーザーのコンピューターを除去するのが難しいマルウェアに感染させる可能性のあるサイトに誘導します。

この投稿では、悪意のあるリダイレクト マルウェアとは何か、ハッカーがこの戦術を使用する理由、サイトがこのマルウェアの影響を受けているかどうかを判断する方法、および悪意のあるリダイレクト マルウェアの影響からサイトを回復するためのいくつかの解決策について説明します。 .

また、復旧後もサイトを確実に保護するための重要な手順の概要を説明します。

悪意のあるリダイレクト マルウェアとは

悪意のあるリダイレクトとは、サイト訪問者を別の Web サイトにリダイレクトする目的で Web サイトに挿入されるコード (通常は Javascript) です。 多くの場合、この悪意のあるマルウェアは、別のサイトで広告のインプレッションを生成する目的で、攻撃者によって WordPress Web サイトに追加されます。 ただし、一部の悪意のあるリダイレクトは、より深刻な影響を与える可能性があります。 より深刻な悪意のあるリダイレクトは、サイト訪問者のコンピューターの潜在的な脆弱性を悪用する可能性があります。 このタイプのマルウェアは、ユーザーの Mac または Windows コンピューターに大きな損害を与える可能性がある悪意のあるマルウェアをパーソナル コンピューターに感染させるマルウェアをインストールすることを目的としています。

サイトが感染しているかどうかを判断する

サイトの所有者は、自分のサイトがリダイレクトされていることに気付いていない可能性があります。 多くの場合、悪意のあるリダイレクトは隠されているため、認証されていない (ログインしていないユーザー) だけがリダイレクトされます。 または、ユーザーがサイトにアクセスしたときに使用しているブラウザーを検出し、その特定のブラウザーでのみリダイレクトする場合があります。 たとえば、脆弱なバージョンの Chrome にのみ感染するマルウェアを使用して PC を悪用しようとしている場合、悪意のあるスクリプトによって検出されたそのバージョンを使用しているユーザーだけがリダイレクトされます。 何が起こっているのかを判断するには、調査が必要になる場合があります。

サイトの所有者は、顧客から報告されたリダイレクトを複製しようとしても、自分のコンピューター上ですべてが正常に見えるだけでした。 モバイル プラットフォームのサイト訪問者は、同時に悪意のあるアクティビティに遭遇する可能性があります。 リダイレクトが発生するページと発生しないページがある場合があります。 または、サイトが読み込まれる前に発生する場合もあります。

WordPress サイトが別のサイトにリダイレクトされるのはなぜですか?

サイトがリダイレクトされている場合、攻撃者がリダイレクトを作成するために使用できる方法がいくつかあります。 もちろん、これらはすべてリダイレクトを作成する非常に有効な方法ですが、悪意のあるインスタンスの場合、これらはサイト訪問者の最善の利益にはなりません。 攻撃者がリダイレクトに使用するいくつかの方法を次に示します。 リダイレクトの主な方法には、.htaccess リダイレクトまたは Javascript リダイレクトが含まれます。 まれに、HTTP ヘッダー (META HTTP-EQUIV=REFRESH リダイレクトなど) が見つかることがありますが、これはまれです。 多くの場合、リダイレクトは難読化されています。つまり、コードの真の意図を隠すために関数が使用されています。 この難読化は、何かが間違っていることを示す最初の鍵となることがよくありますが、攻撃者は、ほとんどの WordPress サイト所有者が難読化に怯え、深く掘り下げたくないだろうと賭けています.

リダイレクト感染は正確にはどこにありますか?

ハッカーが悪意のあるコードを挿入して、WordPress リダイレクト ハッキングを引き起こす領域がいくつかあります。

1. PHP ファイル

攻撃者は、WordPress コア ファイルのいずれかにコードを挿入することで、サイトに感染する可能性があります。 問題の原因となっている悪意のあるコードが含まれている可能性のあるファイルの一部を次に示します。

攻撃者は、WordPress のコア ファイルにコードを挿入することで Web サイトに感染する可能性があります。 これらのファイルに悪意のあるコードがないか確認してください。 悪意のあるコードと悪意のないコードがわからない場合は、WordPress コアまたはテーマおよびプラグイン ファイルの既知の正常なコピーといつでもファイルを比較できます。

• index.php
• wp-config.php
• wp-settings.php
• wp-load.php
• .htaccess
• テーマファイル (wp-content/themes/{themeName}/)
  • header.php
  • 関数.php
  • フッター.php

2. JavaScript ファイル

リダイレクト マルウェアの亜種の中には、サイト上のすべての JavaScript (.js) ファイルに影響を与えるものがあります。 これにより、プラグイン、テーマ フォルダー、および wp-includes に Javascript ファイルが含まれます。

通常、同じ悪意のあるコードが各 JavaScript ファイルの一番上または一番下に追加されます。

3. .htaccess ファイル

.htaccess ファイルは、Web サーバーがサイト訪問者からの要求を受け取るとすぐに何をすべきかを指示する一連のディレクティブです。 PHP の前、データベースへの呼び出しの前に関与し、特定の「環境変数」を検出して、ユーザーが使用しているシステム (ブラウザー、コンピューターの種類、リクエストあなたのサイトのページは、検索エンジンのクローラーから来ています。

通常の WordPress .htaccess ファイルがどのようなものかよくわからない場合、.htaccess 内のコードの多くが混乱を招く可能性があります。 また、.htaccess ファイルをハード ドライブにダウンロードして詳しく調べると、このファイル タイプを「隠しファイル」と見なしている多くの PC で、ファイルが消えてしまうことがよくあります。

悪意のあるコードが .htaccess ファイルに追加される非常に一般的な製薬会社のハッキングでは、多くの場合、サイト訪問者が検索エンジンの結果ページから来た場合にのみリダイレクトされます。

ハッカーは、右端までスクロールしない限り、ファイル内に隠されたコードを見つけられないように、悪意のあるコードを配置します。 これにより、これらのリダイレクト ハックを見つけて削除することが非常に難しくなります。

3. WordPress データベース

wp_options および wp_posts テーブルは通常、悪意のあるリダイレクトを挿入するハッカーの標的となる WordPress データベース内のテーブルです。 Javascript コードは、各投稿またはすべての投稿に埋め込まれています。 リダイレクトがウィジェットに隠されている場合、wp_options テーブルでリダイレクトを見つけることもできます。

4. 偽の favicon.ico ファイル

サイトのサーバーにランダムな .ico ファイルまたは不正な favicon.ico ファイルを作成するマルウェアが存在し、悪意のある PHP コードが含まれます。 これらの .ico ファイルには、サイト上の別のファイルに含まれる悪意のあるリダイレクトが含まれます。

 @include "/home/sitename/sitename.com/cdhjyfe/cache/.2c96f35d.ico";

悪意のあるリダイレクトから迅速に回復する

悪意のあるリダイレクト ハッキングに見舞われた場合、このタイプのマルウェアから回復するための最速かつ最も簡単な方法は、既知の正常なバックアップから復元することです。 BackupBuddy を使用して定期的にサイトのバックアップを作成している場合は、サイトの正常なコピーを含む最新のバックアップがあることがわかります。 既知の正常なバックアップからサイトを復元することは、サイトを迅速に復旧して実行するための優れた方法です。

もちろん、頻繁に変更されるコンテンツを含むサイトを実行している場合、悪意のあるリダイレクトに対する最善の防御策は、最新の適切なバックアップと、問題を迅速に警告できるようにする侵入検知です。 このようにして、迅速にアクションを実行し、ダウンタイムを最小限に抑えることができます。

もちろん、アクセス ログを参照して、ハッカーがどのようにしてリダイレクトを配置したかを判断する必要があります。

アドオン ドメインに関する注意事項

WordPress サイトがハッキングされる最も一般的な方法の 1 つは、管理されていないアドオン ドメインまたはホスティング アカウントに WordPress を追加インストールすることです。 おそらく、同じアカウントで何かが機能するかどうかを確認するためにテスト サイトをセットアップし、そのインストールを忘れていたのでしょう。 ハッカーはそれを発見し、メンテナンスされていないサイトの脆弱性を悪用して、メイン サイトにマルウェアをインストールします。 または、お金を節約するために家族のサイトも同じスペースでホストしているかもしれませんが、彼らは侵害されたパスワードを再利用しています.

常に 1 つのホスティング アカウントに 1 つの WordPress サイトを持つことをお勧めします。または、同じホスティング アカウントで複数のサイトを使用している場合は、それらが互いに分離されていることを確認し、サイトごとに異なるサーバー ベースのユーザーを使用するようにしてください。 このようにして、脆弱なサイトから隣接する別のサイトへの相互汚染は発生しません。

ホスティング アカウントに複数のサイトがある場合は、同じスペースで実行されているすべてのサイト (たとえば、public_html で実行されているすべてのサイト) を、悪意のあるリダイレクト マルウェアに汚染されているかのように扱う必要があります。 このようなケースがある場合は、これらの各手順が、そのホスティング インスタンス内の各サイトに対して実行されていることを確認してください。 不明な場合は、ホスティング プロバイダーに確認してください。

サイトをスキャンして WordPress リダイレクト ハッキング マルウェアを探しています

最新のクリーンなバックアップがない場合でも、自分でマルウェアを削除できます。 これを行うのは面倒なプロセスになる可能性があり、マルウェアをリダイレクトするだけでなく、それ以上のものを探す必要があります. リダイレクト マルウェアは、バックドアや悪意のある管理者ユーザーなどの他のマルウェアを伴うことが最も一般的です。また、「侵入ベクトル」と呼ばれる、ハッカーがどのように侵入したかを特定する必要もあります。 マルウェアの除去に総合的なアプローチをとらないと、リダイレクトの問題が再発することになります。

iThemes Security Pro には、リダイレクト ハックやバックドアを示す変更など、Web サイトでファイルの変更が発生した場合に警告するファイル変更検出機能があります。

推奨されるマルウェアの削除プロセスは次のとおりです。

1. サイトをバックアップする

はい、サイトが感染していても、何が起こったかの証拠を保持したいと思うでしょう。 ハッキングを犯罪現場と考えれば、いつ、何が起こったのかを知りたいと思うでしょう。 ファイルのタイムスタンプは、侵入がどのように発生したかを特定する際の調査に役立ち、再発を防ぐことができます。

2. サイトを停止する必要があるかどうかを判断する

悪意のあるリダイレクトにより、メンテナンスのためにサイトを一時的に停止したい場合があります。 すべてのリダイレクトがこれを保証するわけではありませんが、サイトがユーザーのコンピューターに害を及ぼす可能性のある場所にリダイレクトしている場合は、サイトをしばらく停止することで、さらなる被害を防ぐことができます.

ハッカーがまだサイトで活動している可能性があると思われる場合 (わからない場合は、活動していると想定してください)、サイトを停止してアクセスできないようにすることで、さらなる被害を防ぐことができます。

それぞれの状況は異なります。 何が起こっているかに基づいて、この決定を下す必要があります。

3. サイトをローカル ドライブにコピーする

バックアップを保持し、サイトをローカル ドライブにコピーします。 インターネットにアクセスできないローカルの状況で、テキスト エディターを使用してローカル ドライブでクリーンアップを実行し、PHP および Javascript ファイルから .htaccess ファイルまでのすべてのファイルをローカルで比較して確認することをお勧めします。 このようにして、ファイルを検査するための制御された環境が得られます。 WordPress、テーマ、プラグインの新しいコピーをダウンロードし、ハッキングされたサイトとファイルを比較して、どのファイルが変更され、どのファイルが属していないかを確認できます. 使用できるファイル比較ツールは多数あります。

4. リダイレクトと隠れたバックドアを削除する

ファイルに目を通しながら、マルウェアが含まれているファイルを既知の正常なコピーに置き換えるか、そうすることに慣れている場合は、存在しないはずのファイル (通常はバックドア) とコード行を削除できます。これは、テキスト エディターでは存在しないはずです。

/wp-content/uploads ディレクトリとすべてのサブディレクトリにあるべきではない PHP ファイルを確認してください。

一部のファイルは、WordPress.org リポジトリからダウンロードしたものとは異なります。 これらのファイルには、.htaccess ファイルと wp-config.php ファイルが含まれます。 これらは、誤った悪意のあるコードがないか、綿密に調査する必要があります。 どちらにもリダイレクトが含まれている可能性があり、wp-config.php ファイルにはバックドアが含まれている可能性があります。

5. クリーンアップしたファイルをサーバーにアップロードします

すべてのマルウェアを一度に一掃し、ハッキングされたサイトでアクティブだったバックドアへのアクセスを防ぐには、ハッキングされたサイトに隣接するクリーンなサイトをアップロードします。 たとえば、ハッキングしたサイトが /public_html/ の下にある場合、クリーンなサイトをその隣の /public_html_clean/ にアップロードします。 そこに移動したら、ライブの /public_html/ ディレクトリの名前を /public_html_hacked/ に変更し、/public_html_clean/ の名前を public_html に変更します。 クリーニング プロセスの開始時にサイトを停止しないことを選択した場合、これには数秒しかかからず、ダウンタイムを最小限に抑えることができます。 また、アクティブな攻撃者と「もぐらたたき」をして、攻撃を受けているハッキングされたライブ サイトをクリーンアップしようとするのを防ぎます。

ファイルが消去されたので、まだやるべきことがいくつかあります。 フロントエンドと wp-admin 内でサイトが正常に表示されることを再確認してください。

6. 悪意のある管理者ユーザーを探す

サイトに追加された悪意のある管理ユーザーを探します。 wp-admin > users に移動し、すべての管理者ユーザーが有効であることを再確認します。

7. すべての管理パスワードを変更する

すべての管理者アカウントが危険にさらされていると見なし、すべてに新しいパスワードを設定します。

8.悪意のある登録から保護する

wp-admin > settings > general に移動し、「Anyone Can Register」という名前の「Membership」の設定が無効になっていることを確認します。 ユーザーを登録する必要がある場合は、「新しいユーザーの既定の役割」が、管理者や編集者ではなく、購読者のみに設定されていることを確認してください。

9. 悪意のあるリンクがないかデータベースを検索する

ファイル システムの問題を見つける場合と同様の方法で、WordPress データベースで悪意のある PHP 関数を手動で検索します。 これを行うには、PHPMyAdmin または別のデータベース管理ツールにログインし、サイトで使用しているデータベースを選択します。

次に、次のような用語を検索します。

• 評価
• 脚本
• Gzinflate
• Base64_decode
• Str_replace
• preg_replace

データベース内の何かを変更する前に、細心の注意を払ってください。 誤ってスペースを追加するなどの非常に小さな変更でも、サイトがダウンしたり、適切に読み込まれなくなったりする可能性があります.

10. サイトを保護する

侵入があったため、サイトに関連するすべてが侵害されたと想定する必要があります。 ホスティング アカウント パネルでデータベースのパスワードを変更し、wp-config.php ファイルで資格情報を変更して、WordPress サイトが WordPress データベースにログインできるようにします。

また、SFTP/FTP のパスワードを変更し、cPanel またはホスティング アカウントのパスワードも変更します。

11. Google の問題を確認する

Google Search Console にログインして、悪意のあるサイトの警告があるかどうかを確認します。 その場合は、それらを確認して、修正によって問題が解決したかどうかを確認してください。 その場合は、レビューを依頼してください。

12. iThemes セキュリティをインストールする

iThemes Security をまだインストールして構成していない場合は、今が最適な時期です。 iThemes Security は、サイトを侵入から守るための最良の方法です

13.脆弱なソフトウェアを更新または削除します

更新が必要なソフトウェア、テーマ、プラグイン、またはコアがある場合は、今すぐ更新してください。 使用しているプラ​​グインにパッチが適用されていない脆弱性がある場合 (iThemes Security を使用して確認できます)、そのソフトウェアを無効にしてサイトから完全に削除します。

この時点で、サイトをロックダウンしている場合は、メンテナンス通知を削除して、サイトに再びアクセスできるようにすることができます。

別の侵入を防ぐ

サイトをロックダウンして稼働させたら、侵入が再び起こらないようにするための措置を講じることが重要です。 ログ ファイルをチェックして、侵入が最初にどのように発生したかを確認します。 脆弱なソフトウェアでしたか？ 侵害された管理者ユーザー アカウントでしたか? メンテナンスされていない隣接する WordPress インストールからの相互汚染でしたか? 侵入がどのように発生したかを知ることで、今後再発しないように対策を講じることができます。

また、iThemes Security を使用することは、サイトを安全に保つための重要な第一歩です。

WordPress は現在、すべての Web サイトの 40% 以上で使用されているため、悪意のあるハッカーにとって格好の標的となっています。 攻撃者は、WordPress ユーザーはセキュリティの知識が少ないと想定しているため、保護されていない WordPress サイトを見つけて、不正なパスワード、再利用されたパスワード、または脆弱なソフトウェアを悪用して、無防備なホスティング アカウントの足がかりを得ます。

Verizon の 2022 年の DBIR レポートでは、侵害の 80% 以上が資格情報の盗難に起因する可能性があり、脆弱性の悪用に対する主要な侵入ベクトルとしての資格情報の盗難が 30% 増加していると報告されています。 これが、iThemes Security がパスキーや 2 要素認証などのユーザー資格情報のイノベーションを優先して、これらの侵入から WordPress サイトを保護する理由の 1 つです。

この記事で少しでも目にしたことがあれば、侵害の前にセキュリティを真剣に考えることがいかに重要であるかを理解していただければ幸いです。 ほんの数回の設定で、コードのレビューにかかる膨大な時間を節約できます。 BackupBuddy を使用すると、リカバリがはるかに簡単になり、iThemes Security Pro を使用して不正アクセスから保護できます。

WordPress を安全に保護するための最高の WordPress セキュリティ プラグイン

WordPress は現在、すべての Web サイトの 40% 以上で使用されているため、悪意のあるハッカーにとって格好の標的となっています。 iThemes Security Pro プラグインは、WordPress のセキュリティから当て推量を取り除き、WordPress Web サイトを簡単に保護および保護できるようにします。 これは、WordPress サイトを常に監視して保護するフルタイムのセキュリティ専門家がスタッフにいるようなものです。

iThemes Security Pro を入手

iThemes 編集チーム

毎週、iThemes チームのチームは、毎週の WordPress 脆弱性レポートを含む、新しい WordPress チュートリアルとリソースを公開しています。 2008 年以来、iThemes は、お客様自身またはクライアントのために WordPress サイトの構築、維持、保護を支援することに専念してきました。 私たちの使命？ 人々の生活を素晴らしいものにします。