リダイレクトハッキング?!WordPressサイトが勝手にリダイレクトされる

リダイレクトハッキング?!WordPressサイトが勝手にリダイレクトされる
  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

WordPressサイトが「リダイレクトされてしまう」「他のサイトに勝手に遷移する」といった現象が起きてはいませんか ?

今回は、WordPressサイトが勝手にリダイレクトされてしまう現象について解説していきます。
覚えのないページへリダイレクトされている場合は、もしかしたらハッキングされているかもしれませんので注意が必要です!

WordPressサイトが勝手にリダイレクトする

運営しているサイトが勝手にリダイレクトする理由は2つあります。

  • 自動補完リダイレクト機能
  • ハッキングにあっている

では以下説明していきます。

自動補完リダイレクト機能

WordPressには、自動補完リダイレクト(カノニカル)機能があります。
例えば、「https://example.com/wordpress」というページが存在した場合、「https://example.com/word」という存在しないページにアクセスしても「https://example.com/wordpress」に勝手にリダイレクトされる機能です。

基本的にはユーザーの誤入力などを防ぐ便利な機能ですが、URLの構造等によっては意図しないリダイレクトが起きてしまい、誘導したいページにリダイレクトされない場合もあります。

自動補完リダイレクトの注意点や解決策を記事にしていますので、詳しくは
【5分で解決】WordPressの自動補完リダイレクトを無効化する方法!をご覧ください。

他サイトへのリダイレクトはハッキングの可能性あり

他のサイトへリダイレクトされている場合は、ハッキングされている可能性があります。

リダイレクトされているサイトは、海外のサイトであったり何かに当選しましたというものなど様々です。また、ドメインのリダイレクトは行われないものの、埋め込んだ覚えのないモーダルウィンドウがポップアップする場合もあります。

不正なリダイレクトが行われている場合、WordPressサイト内に悪質なコードが埋め込んであるかもしれませんので、確認する必要があります。

リダイレクトされるだけでも元々の集客できていたアクセスを奪われ、怪しいサイトと判断されるとユーザー離れも起こるので、それだけでも重大な被害です。

さらにマルウェアの拡散やリダイレクト先から個人情報の漏洩等が起きると、より被害が大きくなってしまうので注意が必要です。

強制リダイレクトのハッキングの被害例

WordPressだけでなく、他のCMSも悪用され、ユーザーをランサムウェアに感染させるような事件がありました。
一種類だけでなく複数のランサムウェアが確認されており、その中でも有名な「WannaCry」は150カ国300,000台以上のコンピュータを標的に数十億円の被害をもたらしています。

ランサムウェアに感染してしまうと、パソコン内に保存されているデータを暗号化・操作不能な状態にされ、暗号化データの解除や操作可能にする為に身代金(ransome)を要求する攻撃を受けてしまいます。

CYBARCRIME MAGAZINでは、2019年に達するまでに世界全体で115億円の被害額になるとも予想していますので、対策は必須です。

参考:Cyber-attack: US and UK blame North Korea for WannaCry

参考:Global Ransomware Damage Costs Predicted To Hit $11.5 Billion By 2019

参考:WordPressやJoomlaサイトの改ざん相次ぐ、ランサムウェアへ誘導

ハッキングからの復旧方法

もしもハッキングされ不正なコードが埋め込まれてしまっていた場合は、不正なコードを取り除くことで解決します。

埋め込まれているコードを確認するには

  • バックアップとの差分を確認する
  • データベースのpostテーブル内を確認する

上記の方法がありますが、どうにもできない場合は消去しハッキングされる前のバックアップを復元することで復旧可能です。
しかし、ハッキング前のデータで復旧した場合、そのままでは同じ方法でハッキングされてしまいます。どのような経路でハッキングされたか把握し、対策を行いましょう。

バックアップとの差分を確認する

ハッキング前にバックアップがある場合は、現在の状態とバックアップの状態との差分を確認することで不正コードがどの部分に混在しているのか見ることができます。

また、不正コードの埋め込みだけでなく新しいファイルが追加されていたりすることもあるので、ファイル構成にも注意して確認しましょう。

ハッキングされる前に手動または自動でバックアップをとった覚えがない場合は、サーバー側にバックアップがないか確認してみてください。

レンタルサーバー各社で、定期的にバックアップを取っているところもありますので活用することができます。

データベースのpostテーブル内を確認する

WordPress本体だけでなく記事などに埋め込まれている場合があり、保存されている限り効力を持ってしまうので、本体だけでなくデータベースも確認が必要です。

データベースのテーブル名を変えていなければ、wp_postsというテーブル内に記事の内容が保存されています。

その中に、見覚えのない記載やスクリプトがある場合は、そこから削除しましょう。

ハッキングから自力復旧!WordPressサイトを正常に戻す手順を解説

復旧後はリダイレクトハッキングを対策する

ハッキングから復旧させることができたら、以降ハッキングされないような対策を行う必要があります。

対策を行わなければ、ハッキングに使われた脆弱性の改善が行われていないため、同様の手口で再び攻撃される可能性が高いです。
Googleからの評価が下がるだけではなく、ユーザーへの被害も拡大してしまう可能性があります。
最悪の場合、ブラックリストへ登録されしまうので対策は必須です。

今回は、管理者が対応できるものとユーザーが対応できるものとで分けました。
管理者とユーザーが互いに対策を行うことで、よりセキュリティ強化に繋がるので対策していきましょう。

管理者がすべきセキュリティ対策

管理者が行うべきセキュリティ対策は下記があげられます。

  • ログイン名やパスワードを厳重にする
  • WordPressに関連するものを最新にする
  • WAFを導入する
  • Google Search Consoleを導入する

では以下説明していきます。

ログイン名やパスワードを厳重にする

WordPressを運営している場合、ログイン名やパスワードを使用するものはWordPress・サーバー・データベースなどが挙げられます。
全て初期の状態、全て同じログイン名やパスワードにしていては、非常に危険です。
ハッキングを受けた場合は、再ハッキングの可能性もあるため、ユーザー名やパスワードは全て変更して再設定してください。

特にWordPressの初期設定である「admin」の管理者ユーザーについては、ハッキングの対象となりやすいため、別の管理者ユーザーを作成した上で「admin」ユーザーを削除しておくと良いでしょう。

WordPressに関するものを最新にする

WordPress本体・テーマ・プラグインを常に最新の状態に保つことが非常に重要です。
マイナーバージョンアップデートは発見された脆弱性の対策を行なったバージョンなので、最新の状態でないと脆弱性を狙われてしまいます。

どのような脆弱性かも周知されますので、クラッカー(悪意のあるハッカー)にも脆弱性の内容が伝わります。この状態で放置すれば、攻撃者からすれば鍵の開いているドアと同じ状態ですのでアップデート必須と言えます。

WAFを導入する

WAFを導入することで、不正アクセスやクロスサイトスクリプティング・SQLインジェクションなどを防ぐことができます。

正しい通信かどうかを判断し、不正であればその時点てシャットアウトすることができるので、攻撃を未然に防ぐことができる有効な手段なので、導入してみてはいかがでしょうか。

Google Search Consoleを導入する

Google Search Consoleを導入することで、ハッキングを受けた場合に通知をもらうことができます。

ハッキング通知がこないことが一番良い状態ですが、もし通知が来た際にはすぐ対応するようにしましょう。
対応が遅れてしまうとブラックリスト登録されてしまいますし、復帰させたとしても上位表示させることも難しくなってしまいます。

Google Search Consoleはこちら

ユーザーがすべきセキュリティ対策

ユーザーが行うことができる対策は下記があげられます。

  • リダイレクトブロックを行う
  • セキュリティソフトを導入する

以下説明していきます。

リダイレクトブロックを行う

ユーザー本人が対策するのに有効なのがリダイレクトブロックです。
各ユーザーが利用しているWebブラウザで設定することが可能で、意図しないポップアップの表示やリダイレクトは防ぐことができます。
勝手なリダイレクトやポップアップをブロックすることで、悪質なサイトへの遷移を防ぐことができますので行いましょう。
(Chromeでは、デフォルトでブロックされるようになっています)

Chrome でポップアップをブロックまたは許可する

Safari でポップアップをブロックする方法

Firefoxポップアップブロックの設定とトラブルシューティング

Internet Explorer 11 のセキュリティとプライバシーの設定を変更する

セキュリティソフトを入れる

PC本体が感染した場合、復帰させるまでに時間がかかってしまいます。
どこからの侵入で、どこまで感染が広がっているかもわかりづらいためです。

ウイルス等が簡単に侵入できないよう、セキュリティソフトを導入しておくと良いでしょう。
無料でも導入できる代表的なセキュリティソフトは以下になります。

アバスト
Windows Defender

対策が難しい場合は

今回は、リダイレクトハッキングについて解説していきました。

いつ自分のサイトが、ハッキングにあうかわかりません。

ユーザーが安心してサイトを利用できるようにするのも、サイト運営者の重要な役目。
いつ狙われたとしても、簡単にはハッキングされないように対策を行うこと、万が一ハッキングされたとしても、すぐに復旧できる体制を整えておくことが大切です。

簡単なセキュリティ対策を行うだけでも、ハッキングされたりウィルスに感染する可能性を下げることができますので、行なっていきましょう。

どうしても、自社での対策が難しい場合は
WordPressのセキュリティ対策のプロにご相談ください。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

記事が気に入ったら
wp.supportを "いいね!"
Facebookで更新情報をお届け。

WordPressの保守・セキュリティ対策なら「wp.support」