運営:株式会社e2e

世界のWordPress最新情報を
届けるメディア

2021.04.27セキュリティ

リダイレクトハッキングとは?!他のサイトにリダイレクトされる際の原因と対策を徹底解説

この記事を書いた人

土井 純也

WordPressスペシャリスト・エンジニア/株式会社プレート 取締役

1985年北海道生まれ。200社以上のWordPressサイトの制作を担当し、「wp.support」では一部上場企業を含め、様々なサイトのWordPress保守・セキュリティをサポートしている。

この著者の他の記事を見る >>

WordPressサイトが「リダイレクトされてしまう」「他のサイトに勝手に遷移する」といった現象が起きてはいませんか ?

今回は、WordPressサイトが勝手にリダイレクトされてしまう現象について解説していきます。
覚えのないページへリダイレクトされている場合は、もしかしたらハッキングされているかもしれませんので注意が必要です!

WordPressサイトが勝手にリダイレクトする

運営しているサイトが勝手にリダイレクトする理由は2つあります。

  • 自動補完リダイレクト機能
  • ハッキングにあっている

では以下説明していきます。

自動補完リダイレクト機能

WordPressには、自動補完リダイレクト(カノニカル)機能があります。
例えば、「https://example.com/wordpress」というページが存在した場合、「https://example.com/word」という存在しないページにアクセスしても「https://example.com/wordpress」に勝手にリダイレクトされる機能です。

基本的にはユーザーの誤入力などを防ぐ便利な機能ですが、URLの構造等によっては意図しないリダイレクトが起きてしまい、誘導したいページにリダイレクトされない場合もあります。

自動補完リダイレクトの注意点や解決策を記事にしていますので、詳しくは
【5分で解決】WordPressの自動補完リダイレクトを無効化する方法!をご覧ください。

他サイトへのリダイレクトはハッキングの可能性あり

何の設定もしていないのに、無関係のサイトへリダイレクトされている場合は、ハッキングされている可能性があります。

リダイレクトされるサイトは、海外のサイトであったり「何かに当選しました」というものなど様々です。元々のサイトとそっくりでURLだけが違う偽サイトの場合もあります。

こうした不正なリダイレクトが行われている場合、WordPressサイト内に悪質なコードが埋め込んである可能性があります。

不正なリダイレクトが行われると、本来のアクセスを奪われてしまうだけでなく、怪しいサイトだと判断されてユーザー離れが起きてしまいます。
場合によっては、ユーザーの個人情報が流出する一因になってしまうなど、重大な被害にも繋がる可能性もあります。

強制リダイレクトのハッキングの被害例

WordPressだけでなく、他のCMSも悪用され、ユーザーをランサムウェアに感染させるような事件がありました。
一種類だけでなく複数のランサムウェアが確認されており、その中でも有名な「WannaCry」は150カ国300,000台以上のコンピュータを標的に数十億円の被害をもたらしています。

ランサムウェアに感染してしまうと、パソコン内に保存されているデータを暗号化・操作不能な状態にされ、暗号化データの解除や操作可能にする為に身代金(ransome)を要求する攻撃を受けてしまいます。

CYBARCRIME MAGAZINでは、2019年に達するまでに世界全体で115億円の被害額になるとも予想していますので、対策は必須です。

参考:Cyber-attack: US and UK blame North Korea for WannaCry

参考:Global Ransomware Damage Costs Predicted To Hit $11.5 Billion By 2019

参考:WordPressやJoomlaサイトの改ざん相次ぐ、ランサムウェアへ誘導

ハッキングからの復旧方法

もしもハッキングされ不正なコードが埋め込まれてしまっていた場合は、不正なコードを取り除くことで解決します。

埋め込まれた不正なコードは、サーバー内のいずれかのファイル、もしくはデータベース内に記載されています。
それぞれの手順について、詳しく見ていきましょう。

サーバー内のファイルを確認する

FTPソフト等でサーバーにアクセスして、各ファイルを確認していきましょう。

改ざんされた可能性のあるファイルを絞り込む

WordPressを構成するファイルはかなりの数になるので、ひとつひとつ中身を確認するのは莫大な時間と労力がかかってしまいます。

以下の手順で、改ざんされた可能性のあるファイルを絞り込みましょう。

  1. 不審な更新日付を確認する
  2. 不審なファイルがないか確認する

まずは、FTP等でサーバーにアクセスし、各ファイルの更新日付を確認しましょう。
自分でファイルを更新したり、バージョンアップ等を行った覚えのない日付でファイルが更新されていれば、不正な改ざんを受けている可能性があるため、それらのファイルを優先的に調査していきましょう。
普段、あまり触ることのない「wp-admin」「wp-includes」のディレクトリについても、しっかり確認してください。

また、既存のファイルを改ざんするだけでなく、新規のファイルが作成されている場合があります。
「config.php」「function.php」等、WordPressの設定ファイルに偽装されている場合もあるため、WordPressの基本のファイル構成と見比べたり、自分で作成した覚えのないテンプレートファイル等がないか確認しましょう。
(上記は、本来は「wp-config.php」と「functions.php」)

ハッキング前のバックアップがある場合

ハッキング前のファイルのバックアップがあれば、それほど専門的な知識やスキルがなくても不正なコードの発見と除去を行うことができます。
現在の状態とバックアップとの差分を確認し、不正なコードが埋め込まれていないかを確認しましょう。

また、自分ではバックアップを取得していない場合でも、レンタルサーバーを契約している場合は、一定期間内のバックアップをレンタルサーバー側で保持している場合がありますので、サービス内容を確認するかサーバー会社に問い合わせて見ると良いでしょう。

ハッキング前のバックアップがない場合

ハッキング前のバックアップがない場合には、自力で復旧作業を行うことになります。
事前に絞り込んだ怪しいファイルを確認して、不正なコードを発見し削除していきましょう。

ただ、正しい知識がない方の場合、どれが不正なコードかの判断がつかず、やみくもにコードを削除してサイトが動かなくなってしまう場合もあるため、作業前にはバックアップを確実に取るようにしてください。
自力での復旧が難しい場合には費用は必要になりますが、ハッキングからのサイト復旧サービスもあります。

データベースを確認する

WordPressは管理画面で設定した内容や投稿した記事の情報をデータベースに保存しています。
ハッキングを受けた際には、このデータベースの情報を書き換えられている可能性もあります。

phpMyAdminやssh接続を行ってデータベースの中身を確認していきましょう。
ただ、データベースに関しては慣れていないと何が正しいコードで何が不正なコードかの判断がつきづらく、サーバー内のファイルよりも慎重に扱う必要があります。
こちらの記事では、ハッキングを受けた際のデータベース内の確認方法等も解説しています。

サイト復旧後はセキュリティ対策を見直しを

ハッキングから復旧させることができたら、同様のハッキングを受けないようセキュリティ対策を行う必要があります。

対策を行わなければ、同様の手口で再びハッキングされる可能性があるためです。

以下にセキュリティ対策は下記があげられます。

  • ログイン名やパスワードを厳重にする
  • WordPressに関連するものを最新にする
  • WAFを導入する

では以下説明していきます。

ログインID・パスワードを変更する

まず、絶対に行っていただきたいことは、ログインID(ログイン名)・パスワードを変更することです。

ハッキングを受けた場合、何らかの方法でログインIDやパスワードといったユーザー情報を盗み出し、不正アクセスされた可能性があります。

ログインIDやパスワードが同じままでは、再度のハッキングを容易になってしまいます。
必ず、どちらも変更するようにしましょう。

また、ログインIDやパスワードが必要になるのは、WordPressだけではありません。
サーバーのFTPアカウント、データベースのユーザーアカウントについても、全て変更するようにしてください。

特にWordPressの初期設定である「admin」の管理者ユーザーについては、ハッキングの対象となりやすいため、別の管理者ユーザーを作成した上で「admin」ユーザーを削除しておくと良いでしょう。

WordPress本体・テーマ・プラグインを最新にする

WordPress本体(コアファイル)や導入しているテーマ、プラグインを最新のバージョンにアップデートしてください。
これらのバージョンアップには、機能追加以外にも確認された脆弱性への対策が含まれる場合があるため、最新バージョンを維持していくことは、セキュリティ対策の基本中の基本となります。

ただし、サーバーのPHPバージョンに対応していなかったり、更新が止まっているプラグインが最新のWordPressバージョンでは動かないなどの問題が起こる場合もあるため、作業前には必ずバックアップを取得しておいてください。

確認された脆弱性の内容はWeb上で公開されるため、当然ハッカーにも伝わります。
古いバージョンを使い続けることは、ハッカーにとっては回答用紙を横に置きながらテスト受けるようなもの。
バージョンアップのリソースが自社内で取れないという場合は、プロが定期的にメンテナンスをしてくれるWordPress保守サービスを検討することも視野に入れましょう。

WAFを導入する

WAF(Web Application Firewall)とは、Webアプリケーションの脆弱性を狙った攻撃からWebサイトを守るファイアウォールの一種です。
通信内容を検査することで、不審な通信を遮断することができます。

WAFを導入することで、

  • 不正ログイン
  • Webサイトの不正改ざん
  • 個人情報などの重要情報の盗取

などのサイバー攻撃を防ぐことができます。

WAFについては、『おすすめのWAF製品9選!選び方のポイント』の記事で詳しく解説していますので、ご参考ください。

比較的安価で導入しやすいクラウド型WAFであれば、『攻撃遮断くん』『AWS WAF』などのサービスが有名です。
サイバー攻撃への耐性は非常に高いので、予算をかけられるのであれば検討する価値は十分にあります。

自力でのセキュリティ対策が難しい場合は専門家に相談を

今回は、リダイレクトハッキングについて解説していきました。

いつ自分のサイトが、ハッキングにあうかわかりません。

ユーザーが安心してサイトを利用できるようにするのも、サイト運営者の重要な役目。
いつ狙われたとしても、簡単にはハッキングされないように対策を行うこと、万が一ハッキングされたとしても、すぐに復旧できる体制を整えておくことが大切です。

基本的なセキュリティ対策を行うだけでも、ハッキングされたりウィルスに感染する可能性を下げることができます。

どうしても、自社での対策が難しい場合は
WordPressのセキュリティ対策のプロにご相談ください。

その他、『WordPressサイトの制作・リニューアル』『WordPressサイトのハッキングからの復旧・不具合の解消』などのご相談についても承っております。

注目記事バナー