現在、最もワードプレスの改ざんで多いものがSEOハック(SEOスパム)と呼ばれるタイプの改ざんです。SEOハックについてその事例と対処方法を解説いたします。


ワードプレスSEOハックの症状と事例

サイトに訪ねてきたユーザーを強制的に別のサイトにリダイレクト(移動)させる

この症状は、サイト上のリンクをクリックしたときに出る場合や、検索エンジン経由でのアクセスのみに出る場合もあり、また、COOKIEにアクセスした時間を記録し、数時間もしくは1日に一回しか症状を発言させないタイプの物もございます。

下記のようなJAVASCRIPTのコードが、wp-config.php、テーマのindex.php、header.php、footer.php、functions.php、jquery.min.js、jquery-migrate.min.jsに埋め込まれます

eval(String.fromCharCode(数字の羅列)
createElement('script'); s.type='text/javascript';

これらのコードは難読化されたJAVASCRIPTの不正なリダイレクトのコードです。ワードプレスで必ず実行されるファイルに埋め込まれまれるためサイトのすべてのページで症状が出ます。

サイトに見えない別サイトへのリンクを張る

サイトのヘッダーやフッターに、下記のような形で、ブラウザーで表示されない不可視の要素でリンクを埋め込みます。

<div style='display:none'><a href='不正なサイトのURL'>文字列</a> <a href='不正なサイトのURL'>文字列</a> <a href='不正なサイトのURL'>文字列</a>...多くの場合20個以上リンクが連なる</div>

見えないリンクですが、検索エンジンは被リンク数や、リンクの文字列でサイトの評価を上げることから、SEO上有利になるようにこのような改ざんを埋め込んでいると思われます。

サイトマップを改ざんし不正なページを検索に引っ掛ける

ワードプレスやプラグインが出力するサイトマップに改ざんによって大量の不正なページを追加し、検索エンジンに引っかかるようにします。自社サイトを検索すると、サイトに関係のない、身に覚えのない大量のページが引っかかることで、改ざんと乗っ取りが発見できます。

この改ざんは、サイトマップだけでなく、FOX-404、FOX、もしくはランダムな文字列のフォルダをサーバーに生成し、実際に不正まページそのものをホストさせる場合もあります。

アフェリエイト広告の埋め込み

こちらも全頁で実行されるテーマのheader.phpやfooter.php に下記のような書式でアフェリエイト広告をページ上で実行展開するコードが追加されます。

<script src="不正な外部広告の埋め込みスクリプトのURL"></script><script src="不正な外部広告の埋め込みスクリプトのURL"></script><script src="不正な外部広告の埋め込みスクリプトのURL"></script>...5個以上続く

サイトを訪ねたユーザーに管理者が追加していない、広告のポップアップが出たり、ページ遷移で広告のウィンドウが勝手に開いたり、リダイレクトが発生したりします。

SEOハックの検出と対処方法

SEOハックは、サイトの全頁で発生させる必要がある為、ワードプレスのぺすべてのページで実行される下記のようなファイルに埋め込まれる場合が多いです。

wp-config.php
index.php
テーマのindex.php
テーマのheader.php
テーマのfooter.php
テーマのfunctions.php
wp-includes/js/jquery/jquery.min.js
wp-includes/js/jquery/jquery-migrate.min.js

マルウェア検出プラグインで一括して検査検出することも可能です。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]

駆除方法

SEOハックは多くの場合、ワードプレスの正規ファイルに追記される形で埋め込まれているため、そのファイルを丸ごと消してしまうと、サイトの表示に不具合が出ます。
改ざん部分だけを慎重に駆除する必要がございます。

参考
ワードプレスのマルウェア(改ざん・ウィルス)をプラグインで取り除く方法

ハッカーの侵入経路を遮断する

SEOハックの改ざんは、元々ワードプレスの乗っ取りが可能であったことから、ハッカーが行うことができた為、その根本的な原因を取り除く必要があります。

ワードプレスが乗っ取られて改ざんされる主な原因は下記の3点となります。
・管理者権限のパスワードが弱い
・古いプラグインやワードプレス本体に脆弱性がある
・元々バックドアが埋め込まれた、プラグインやテーマを利用している(有料のテーマやプラグインを不正に無料で配布しているサイト経由で使用している場合にバックドアが埋め込まれている場合が多いです)

管理者権限のパスワードを見直し、脆弱性をふさぎ根本的な原因も取り除きます。

参考
無料でできるワードプレスのセキュリティー対策5選

WordPress ワードプレスの改ざんやマルウェアを専門家が駆除し、セキュリティー対策を行います。お気軽にご依頼・ご相談お送りください

関連記事:

  1. ワードプレスのコアファイルにリダイレクトハックが埋め込まれる事例
    昨今ワードプレスのコアファイルにtrackmyposs で始まるJAVASCRIPT型のマルウェアの埋め込みが増えております。...
  2. ワードプレスのインジェクション攻撃って何?
    ワードプレスがハッキングされる手法には様々なものがありますが、最も多いのがインジェクション攻撃と呼ばれる攻撃です。このインジェクション攻撃について解説いたします。...
  3. ワードプレスがハッキングされた(改ざんマルウェア感染した)時の10の症状
    ワードプレスがハッキングされた(改ざんマルウェア感染した)時のよくある10の症状について解説いたします。...
  4. ワードプレスサイト上のリンクをクリックすると別のサイトに移動してしまうリダイレクトハック
    リダイレクトハックとは、サイトのデータもしくはテーマファイルをハッカーが改ざんすることで本来ユーザーが見たいページから、ハッカーが望むページへ強制的に飛ばしてしまうタイプの改ざんです。 サイト上のリンクをクリックすると別サイトに飛んでしまうというリダイレクトハックのよくある事例を解説いたします。...
  5. SEO目的のワードプレスサイトの改ざんハッキング。SEOスパムとは
    昨今最も多いタイプのワードプレスの改ざんがSEO目的のワードプレスサイトの改ざんハッキングです。このSEOスパムについて解説いたします。...
  6. WordPress ワードプレスが勝手に別サイトにリダイレクトされるリダイレクトハックの事例と対処方法
    最近 サイトにGoogle経由でアクセスした時のみに偽のWindowsのウィルス駆除ページやPC修理ページにリダイレクトされてしまう改ざんを受ける事例が増えています。 今回はこの事例の解説と対策について配信いたします。...