ワードプレスサイトがハッキングされてしまい改ざんを取り除いたと思っていても、やはりサイトが別のサイトにリダイレクト(強制移動)してしまう場合、不正なJAVASCRIPTのコードがまだどこかに残っているかもしれません。
1行の不正なJAVASCRIPTの埋め込み
下記のようなコードが不正なJAVASCRIPTのコード(マルウェア)の埋め込みとなります。
<script src="dock.********.com/m.js?ns=ns1" type="text/javascript"></script>
僅か一行のコードで、外部にある不正なスクリプトを呼び出して実行するコードです。
一般的に、このような不正な埋め込みは、呼び出し元が多種多様なため、鼬ごっこ状態となっており、マルウェア駆除プラグインや検査でなかなか発見するのが難しいタイプのものとなります。
ただ、外部から呼び出されるJAVASCRIPTには、サイトのファイルを書き換えたり、編集したりすることができませんので、バックドアと呼ばれる危険なPHPプログラムに比べると危険性は低いものと言えます。
この為、上記の不正なコードを見つけて、この1行を削除するだけで、駆除可能です。
JAVASCRIPTインジェクションを見つける方法
このような1行の不正なJAVASCRIPTコードは、ワードプレスが呼び出される際に必ず読み込まれるファイルに埋め込まれていることが多いです。
なぜなら、ハッカーは改ざんしたサイトの全頁でユーザーをリダイレクトさせ最大限の利益を得たいと考えているからです。
このようなワードプレスで必ず読み込まれるファイルは下記となります。
wp-config.php
index.php
テーマの header.php
テーマの footer.php
テーマの functions.php
テーマの index.php
テーマの sidebar.php
こちらに、上記のような1行の身に覚えのないJSコードがないかどうかを目視検査します。
データベースに埋め込まれている事例
また、このようなJAVASCRIPTがデータベースに埋め込まれてしまう事例も稀にございます。
この場合、データベースの投稿に大量に不正なJAVASCRIPTコードが書き込まれるため、その不正なコードを探したり、消去するには、データベースの一括検索、置換プラグインを使うと便利です。
※
マルウェア検査駆除プラグインをご利用いただくこともお勧めいたします。自動駆除機能で一括で消去できる場合もございます。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
