リダイレクトハッキングされていたWordPress。原因と復旧方法。

当サイトが突然、見知らぬページにリダイレクトされていました。リダイレクトハッキングは多くのブロガーにとって悩ましい問題です。今回私がやった原因究明から対処までの道のりを書きまとめました。

リダイレクトハックされた！
リダイレクトハッキングとは？
リダイレクトハッキング復旧は主に２通り
リダイレクトハッキングからの自力での復旧方法
リダイレクトハッキングを防ぐための対策
まとめ

リダイレクトハックされた！

ある日、スマホから自分のサイトをみてみると…ん？ライブドアニュースに飛んだ？またある時にはiPhoneがウィルスに侵されています？何でまた…と思いながらも、まぁたまたまだろと放置していましたが、うっすらと「ハッキングされてるのかも？」という恐怖が。ググってみると、どうやらリダイレクトハッキングというものにやられていそうな気配です。

リダイレクトハッキングとは？

リダイレクトハッキングは、悪意のある第三者がWordPressサイトに不正にアクセスし、訪問者を別のサイトへ自動的に転送する攻撃手法です。これにより、訪問者は意図しないサイトへ誘導され、最悪の場合は個人情報の漏洩やマルウェア感染の危険にさらされます。

リダイレクトハッキングの原因

リダイレクトハッキングの主な原因は以下の通り。

1. 脆弱なパスワード

簡単なパスワードはハッカーにとって攻撃の標的になります。複雑でユニークなパスワードを設定することが大切です。

2. プラグインやテーマの脆弱性

使用しているプラグインやテーマにセキュリティの脆弱性がある場合、ハッカーはそれを利用してサイトに侵入する可能性があります。

3. サーバーのセキュリティ設定

サーバーの設定が適切でないと、外部からの攻撃を受けやすくなります。サーバー管理者は最新のセキュリティパッチを適用することが重要です。

4. 古いWordPressのバージョン

常に最新のWordPressを使用することで、セキュリティ上のリスクを軽減できます。古いバージョンでは脆弱性が放置されることが多いです。

残念ながら全てに心当たりがあるような状態。こんな滅多に見られrないサイトでも被害に遭うのか…というのが正直な感想ですが、サイトをしばらく放置していたのでそらそうか、とも思います。こんな弱小サイトくんだりまで来ていただいた上にリダイレクトさせてしまって大変申し訳ありません。

リダイレクトハッキング復旧は主に２通り

業者に復旧をお願い…でも非常に高額

さて、さぁ直すぞ！といえど、正直ネットの情報をかき集めながら何とかWordPressをインストールしてかろうじて記事を書いている程度の自分です。知識が全くなく、直せるような気もしない。業者に頼んでみようかなとググってみたところ、基本数万程度かかるようで…高い！まぁスキルのある人が直してくれるわけだからしょうがないなとも思いながらもやはり高い…どうにか自力で直せないもんでしょうか。業者さんのサイト見ても、やり方は書いてないんですよね。そりゃ当然なんですが。

自力復旧…つまり0円！

ここのサイトを見ながら頑張ろう。復旧させるためにはまずは再現だ！とPCでサイトを開いてみても一向に再現されない。そういえばスマホだったなーとスマホでサイト見てみても全然再現されない。何でや！あれは見間違いだったのかなー。と色々と試してみたところ、どうもリダイレクトハッキングには色々な種類があるみたい。

特定の条件に基づくスクリプトの実行

攻撃者は、リダイレクトコードを特定の条件に基づいて実行することがあります。例えば、アクセス元のIPアドレスやユーザーエージェント（スマホやPCなど）に応じて、リダイレクトを実行する場合です。検索エンジンや一般的なユーザーにはリダイレクトを見せるが、管理者には見せない設定にすることで、サイトの管理者に気づかれにくくなります。

キャッシュの影響

サイトのキャッシュ（ブラウザやサーバーキャッシュ）によって、リダイレクトの発生が不定期になることがあります。キャッシュにハッキングコードが残っている場合、キャッシュのクリアやキャッシュの更新が行われるとリダイレクトが発生しなくなることもあります。

時間ベースの制御

リダイレクトコードにタイマーや間隔を指定する仕組みがあると、一定の時間帯や間隔でのみリダイレクトが発生します。攻撃者が検出されにくいように、一定時間のみリダイレクトを行うよう設定している可能性があります。

プラグインやテーマに仕込まれたマルウェア

ハッキングコードがプラグインやテーマのファイルに埋め込まれている場合もあります。たとえば、特定のプラグインやテーマが使用された際にのみリダイレクトが発生する場合があります。また、プラグインやテーマが更新されるとリダイレクトコードが再度読み込まれないこともあり、不定期に見える原因になります。

ユーザーの行動に基づいた発動条件

特定のページにアクセスしたり、特定のリンクをクリックした際にのみリダイレクトが発生するような仕組みも考えられます。この場合、一般的な訪問者が普段の閲覧では遭遇しないリダイレクトが、特定の行動でのみ発生します。

なるほど。と色々と試してみるとどうもスマホでモバイル通信時にリダイレクトが起こっているみたい。Wifiだとスマホでも再現しないなんてなんて厄介だ…とはいえChromeで再現させないとどうやってリダイレクトされているのかの糸口がわかりません。

と、これまた試行錯誤していたところ再現に成功！PCのChromeでも、1日ぐらい間を空けてからユーザーエージェントをiPhoneにしてやってみると再現！時間だったり、通信形式だったりスマホだったりと複雑な要素が絡むと、そもそもなかなか気づけないのが厄介なところです。そんな中、リダイレクトのトレースをとってみると

1.Request URL:https://ntwmachine.com/
2.Request URL:https://infosystemsllc.com/?cse3bmd3kl6c739ud76g
3.Request URL:https://qltuh.rtb-feed.com/dc?pl=IU_akPY_IkiVh2gwYMnp_A&click_id=cse3bmd3kl6c739ud76g
4.Request URL:https://dc-ssp-trk.trkless.com/trk?…
5.Request URL:https://dailynotificatioon.com/…
6.Request URL:https://apps.apple.com/app/…
7.Request URL:itms-appss://apps.apple.com/app/id6471243209?

7段も！？なるほどなるほど。これで参考サイトを見ながら…やってもダメでした。全然ヒットしない。どういうことですか…

リダイレクトハッキングからの自力での復旧方法

とまぁ紆余曲折ありましたが、リダイレクトハッキングに今回やった復旧手順を以下に詳しく紹介します。

1. サイトのバックアップを確認する

まず最初に、サイトのバックアップが存在するか確認します。バックアップがあれば、ハッキング前の状態に復元することが可能です。ただ、自分はダメでした。いつからハッキングされてたのかも不明です。皆様ご迷惑おかけしてすみませんでした。

2. 不正なコードの削除

バックアップがない場合、手動で不正なコードを削除する必要があります。WordPressのファイルやデータベースを確認し、異常なコードや不審なファイルを特定します。やり方は上述ですが、自分はこれでは見つかりませんでした。

3. プラグインとテーマの更新

すべてのプラグインとテーマを最新のバージョンに更新します。また、使用していないプラグインやテーマは削除することをお勧めします。これを機にごそっと使っているものは削除しました。

4. パスワードの変更

全てのユーザーアカウントのパスワードを強力なものに変更します。特に管理者アカウントのパスワードは、他のサイトで使用しているものと異なるものにするべきです。もちろんパスワード変更しました。２段階にもしました。

5. セキュリティプラグインの導入

WordPressには、セキュリティを強化するためのプラグインが多数存在します。例えば、「Wordfence」や「iThemes Security」などを導入し、サイトを保護しましょう。実質、サイトの復旧という意味で一番効いたのはこのプラグイン導入でした。ほんと助かります。

6. サーバーのセキュリティ設定を見直す

サーバーの設定を見直し、適切なセキュリティ対策を講じることも重要です。ファイアウォールの設定やSSL証明書の導入を検討しましょう。自分はさくらインターネットでサーバを借りていますが、コントロールパネルに行くと、セキュリティの推奨設定でワーニングが出てました。これを見て、全て推奨設定に変更しました。

具体的な導入プラグイン

Wordfence

WordPress Security Plugin | Wordfence

The Wordfence WordPress security plugin provides free enterprise-class WordPress security, protecting your website from ...

Anti-Malware from GOTMLS.NET

| Anti-Malware Ninja | A Securety Scanner and Firewall Plugin for WordPress

これらを入れてスキャンしたところ、いくつかの怪しいファイルが見つかり、かつ駆除隔離まで自動でしてくれました。なんとありがたいことか…

リダイレクトハッキングを防ぐための対策

リダイレクトハッキングから復旧した後は、再発防止のための対策を講じることが重要です。

1. 定期的なバックアップの実施

定期的にサイトのバックアップを行い、万が一の事態に備えましょう。バックアップは自動化することがおすすめです。あと、これとセットで重要なのが、定期的に自分の目で監視すること！長い間放置してしまうと、どこに戻せばいいのかわかりません。

2. セキュリティ対策の強化

セキュリティプラグインを使って、定期的にサイトをスキャンし、不審な活動を監視しましょう。プラグインサイキョー。

3. ユーザーアカウントの管理

管理者以外のユーザーに必要以上の権限を与えないようにし、ユーザーアカウントの管理を徹底します。

4. 定期的なソフトウェアの更新

WordPress本体やプラグイン、テーマは常に最新の状態に保ち、セキュリティ上の脆弱性を減少させましょう。

まとめ

リダイレクトハッキングは、WordPressを運営する上で非常に厄介な問題ですが、正しい知識と対策を持っていれば、被害を最小限に抑え、復旧することが可能です。日頃からのセキュリティ対策を怠らず、安心してブログ運営を続けていきましょう。作ったブログが安全であることが、訪問者にとっても大切なポイントです。