ワードプレスで偽の不審な通販サイトのWebページへ遷移するマルウェアの駆除のご依頼事例をご紹介いたします。
クライアント様のご相談内容
弊社コーポレートサイトが検索エンジン経由でアクセスすると、偽の通販サイトと思われる不審なWebページへ遷移する挙動が確認されている為、データの修復・対策についてご対応いただけるかどうかをお見積りいただきたいです。
同ドメイン内で外部業者に作成を委託作業をしている階層が攻撃・改竄を受けたという報告がありますが、その影響でコーポレートサイトのwordpressおよびhtaccess等他の階層についてもファイル改竄の被害を受けているもようです。
コーポレートサイトのバックアップデータは現状無いとの事です。
お手数をお掛けしますが、何卒よろしくお願いいたします。
ワードプレスサイトに訪ねてきたユーザーを勝手に別サイトに飛ばしアクセス数を稼ぐリダイレクトハック
このように、不正なサイトにユーザーが勝手に移動させられるハッキング手法をリダイレクトハックと言い、ワードプレスのマルウェア被害では最も多い症状です。
このような症状がサイトにある場合は、脆弱性などを理由にハッカーに侵入され、サイトのデータが改ざんされてしまっている可能性が高いです。
ハッカーがこのようなハッキングをサイトに行う理由は下記のような理由となっています。
・任意のサイトのアクセス数を稼ぐ、あるいはSEO上の利益(検索ランキングアップ)を狙う
・任意のサイトにユーザーを飛ばしクレジットカード情報等の個人情報やIDパスワードを盗む
・任意のサイトにユーザーを飛ばし、ウィルスなどを含む不正なソフトウェアをダウンロードインストールさせる
リダイレクトハックはどのようにサイトに埋め込まれている?
リダイレクトハックの改ざんは、様々な手法でワードプレスサイトに埋め込まれています。
最もよくある埋め込み方法は下記となりますが、これだけに限らず、ワードプレスの深い階層にランダムなコードでランダムな名称で不正なファイルが生成される場合も多く、手作業で駆除するのは困難となる場合もあります。
・wp-config.php や index.phpからリダイレクトハックのコード本体を読み込む
・テーマのheader.php、footer.php、functions.phpなどのサイトの全頁で読み込まれるファイルに埋め込まれる
・サーバーのプロセスで無限ループが実行され、そのプロセスがファイルを改ざんする
このご依頼事例の「htaccess等他の階層についてもファイル改竄の被害」がマルウェアを消しても消しても復活してしまうのは、サーバーのプロセスでのプログラムの実行、もしくは消し切れていないバックドアが残っているからです。
対処方法
ワードプレスのファイル全体をマルウェア検査プラグインで検査し、駆除すると、手作業で発見できないマルウェアも見つけることができる可能性があります。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
また、プラグインによる機械的な検索だけでは限界があるため、手に負えない場合は、早めに専門家にご相談いただくことをお勧めいたします。
当社では上記プラグインよりより多くの最新のマルウェアパターンでマルウェアを検出し、一部感染しやすいファイルの目視検査などを行い、より確実にサイトのマルウェアを駆除し、セキュリティー対策を御社サイトに施させていただきます。
