ワードプレス がマルウェア にハッキング？

先日、サイトを開くと別のサイトに勝手にリダイレクトされてしまう状態に。

その夜は、深夜3時過ぎまで絶望的な気持ちで色々試していました。でも結果、何かがうまく行ったようで、それ以降、出てこなくなりました。なので、その時の、対応した記録を残しておきます。

現在は再発していない状態ですが、自分の中だけにしまっておくより誰かの役に立てていただく方が良いので。

ちなみに自分はスーパー初心者で、SQLなんて叩いたことありませんし難しいスクリプトやSQLの実行なんてものはしませんでした。やったのは下記です。

[念のためのご注意]

あくまでも僕のケースなのでフィットしない場合もあると思いますので、やってみて上手くいかなくても僕に文句を言うのは無しでお願いします。

やったこと

プラグイン[Wordfence]で[High Sensibility]でスキャンし問答無用で全て[repair]。

これだけです。それだけやるのに深夜の3時までかかるかよ、と言われそうですが、かかりました。何しろスキャンに猛烈な時間がかかりました。2.5時間くらいかかりました。辛かった。その間にシャワーを浴び、サラダを作り、ワインを飲み終えてもまだまだありました。

[repair対象となったもの]（記憶を頼りに）

• いくつかのphpファイル（特にテーマ関連。使っていないテーマも多かったです。ダウンロードだけして気に入らないってやつ結構あるでしょ。その辺は怪しいです。）　

• いくつかのプラグイン

　よう知らんものが勝手にインストールされているようだった..英語だけのものが多くあって全部消した。あと、二言語対応のプラグイン[q-translateX]ってやつ、もし入ってたらすぐに削除した方が良いですね。これがいちばん怪しく思いました。

なぜ[High Sensibility]でスキャンなのか

[standard Scan]でも十分かと思いましたが、僕の場合はそれでスキャンしても他のサイトなどでよく書かれているようなphpファイルの書き換わりが発見されなかったので。

多少の誤りが含まれる可能性があります的な注意書きが英語で書かれていたけれども、少なくとも僕がやるより可能性あるだろうと。

結果

上記の、[High Sensibility]でスキャンし問答無用で全て[repair]、を行なった後、直後は、下記の状態になりました。

• アドセンスのコードがなくなったため広告が出なくなった。（おそらくrepair対象となったのか）

• H1,H2などの装飾がなくなった状態になった。CSSがはまっていない感じ。

• 二言語対応していたプラグインを外したことで、[:ja]とか[:en]とかで挟まれたタイトルやらがそのまま文字情報としてつらつらと表示されるようになった。

• その状態ではあるが、自動リダイレクトがなくなった。

さらにその後、どのように対応したか

• [:ja]とか[:en]とかで挟まれたタイトルやらを、手動でコツコツと消していった。

• 　そしたら以前設定していたH1,H2などの装飾が気づいたら復活していた。

• アドセンスの動きに連動してリダイレクトされたように見えたので、恐る恐る、アドセンスコードを再度貼ってみた。

　広告が出るようになった。（当然なのですが）これでも、リダイレクトはされない様子。

　という事で、かなり直前に近い形に戻ってきた状態です。（この後何かあるかわかりませんが）

そもそもの原因と思われるもの

帰り道、ふと気の緩んだ時にニセのロイヤルティプログラムのアンケートに答えてしまった事でした。

普通に考えれば相当怪しいし自分はかなり疑い深いので、その時にも色々検索をしたりはしたのですが、

最終的には引っかかってしまいました。かなり手の込んだ、リアルな画面でしたので。

その時キャプチャしたのを貼っておきます。それくらい疑う余裕はあったのですが。世の中の悪意に対して、本気で怒りに震えた夜を久しぶりに味わいました。

その後、サイトはセキュリティを大幅に高めてあります。何をしたかはここには書きませんが可能な限りやっています。

でも、この後も何かないかどうか不安なぶぶんもありますが、いったん記事、アップします。