サイトが別サイト(多くの場合、不正なソフトウェアのダウンロードや偽のECサイト、ロボット認証をクリックさせるサイトなどになります)に飛んでしまうリダイレクトハックは、ファイルの改ざんだけでなく、データベースに入り込んでいることがございます。
データベースのマルウェアによる改ざん事例と対処方法をいくつかご紹介いたします。


リダイレクトハックwp_option(設定関連データベース)への改ざん事例

この改ざん事例の多くはテーマやプラグインの設定保存の脆弱性を利用して不正なコードを設定に書き込み、サイトが表示されたときにそのコードを実施するものです。
設定データの例えばワードプレス最下部のコピーライト表記に不正なコードを仕込んできます。
改ざんコードは下記のようなものとなります。

<script type="text/javascript">eval (String.fromCharCode(118,97,114,32,115....

この場合の改ざん多くの場合、サニタイズ(配列を文字列として表現したもの)データですので、PHPMyADmin等のデータベース表示ソフトウェアで改ざん取り除くと、配列データが壊れてしまいデータ自体が無効なものになってしまうため取り除くのが困難な場合がございます。

■ワードプレスのマルウェアをデータベースの改ざんも含めて調査・駆除できる無料プラグイン
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]

ではサニタイズデータも配列構造を保ったまま修正(マルウェア駆除)することが可能です。

リダイレクトハックwp_contents(投稿のテキスト内容)への改ざん事例

この場合の改ざんコードは上記と同様のスクリプトを eval (String.fromCharCodeで埋め込まれたり、下記のように直接外部の不正なスクリプトが埋め込まれている場合もございます。

<script type="text/javascript" src="//マルウェアのJSへのURL"></script>

この場合、非常に多くのデータベースのコンテンツが感染している場合があり、駆除するには一括でコンテンツの文字列を置き換えてくれる。
Search Regexプラグイン
等を利用して一括駆除する方がよいかと思います。

このタイプの改ざんは、テーマやプラグインの脆弱性を利用したものもございますし、もっと深刻な場合は管理者権限がダッシュされていたり、データベースへのログイン情報が漏れてしまっていることもございます。
改ざんの駆除後は管理者のパスワード変更や、データベースのパスワード変更等もセキュリティー対策として行った方がよいでしょう。

※データベースの設定コンテンツを修正する場合はデータベースのバックアップを先にお取りになることをお勧めいたします。

■ワードプレスのマルウェアをデータベースの改ざんも含めて調査・駆除できる無料プラグイン
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]

WordPress ワードプレスのマルウェア駆除、セキュリティー対策はワードプレスドクターにお気軽にご相談・ご依頼ください