リダイレクトハッキングで改竄（かいざん）された後のサイト復旧【2024年9月22日】

日をまたいで昨日（2024/9/21）午後9時くらいから
本サイトで謎のリダイレクトが行われ、
https://cogefra.workにアクセスすると、
https://3asasssssssssss.comにリダイレクトされる、
という現象が起こりました。

私（管理人）がハッキング被害にあったのは、2024/8/31で、それから登録しているサイト、していないサイト、あるいはSNSから、ひっきりなしに（というほどでもないですが）不正ログイン通知が来ました。

単純な組み合わせ論で、私（管理人）の登録している諸々のサイトが突破されてしまったようでした（厳密には、二段階認証により、その突破は未遂に終わったのですが）。

その一環として本サイトも実質的な被害に遭いました。具体的にはトップ画像にある通り、サイトへのアクセスが、リダイレクトされる形で、なかばのっとりに遭ったのです。

リダイレクトハッキングの対策

今回の解決策で、私（管理人）が一番お世話になったのは下記記事でした。

リダイレクトハッキングとは?!他のサイトにリダイレクトされる際の原因と対策を徹底解説 | wp.geek

WordPressサイトが「リダイレクトされてしまう」「他のサイトに勝手に遷移する」といった現象が起きてはいませんか ? 今回は、WordPressサイトが勝手にリダイレクトされてしまう現象について解説していきます。 覚...

wpmake.jp

重要箇所を抜粋します。

ハッキングからの復旧方法

もしもハッキングされ不正なコードが埋め込まれてしまっていた場合は、不正なコードを取り除くことで解決します。

埋め込まれた不正なコードは、サーバー内のいずれかのファイル、もしくはデータベース内に記載されています。

それぞれの手順について、詳しく見ていきましょう。

①　サーバー内のファイルを確認する
FTPソフト等でサーバーにアクセスして、各ファイルを確認していきましょう。

改ざんされた可能性のあるファイルを絞り込む

②　WordPressを構成するファイルはかなりの数になるので、ひとつひとつ中身を確認するのは莫大な時間と労力がかかってしまいます。

以下の手順で、改ざんされた可能性のあるファイルを絞り込みましょう。

③　不審な更新日付を確認する

④　不審なファイルがないか確認する

まずは、FTP等でサーバーにアクセスし、各ファイルの更新日付を確認しましょう。
自分でファイルを更新したり、バージョンアップ等を行った覚えのない日付でファイルが更新されていれば、不正な改ざんを受けている可能性があるため、それらのファイルを優先的に調査していきましょう。
普段、あまり触ることのない「wp-admin」「wp-includes」のディレクトリについても、しっかり確認してください。

また、既存のファイルを改ざんするだけでなく、新規のファイルが作成されている場合があります。

「config.php」「function.php」等、WordPressの設定ファイルに偽装されている場合もあるため、WordPressの基本のファイル構成と見比べたり、自分で作成した覚えのないテンプレートファイル等がないか確認しましょう。（上記は、本来は「wp-config.php」と「functions.php」）

なにをやるのか

チェックしたものが全部今回サイト改竄で
外部から何者かが入れた
フォルダ（黄色のフォルダの中にファイルがたくさん入っている）
ここで言われている2024/9/20 15:00は
絶対、私（管理人）が本サイトをいじくらなかった時間。

本サイトのようにレンタルサーバー上で運営されているところでは、FTP（File Transfer Protocol）によってブログの内容（いわゆるWordPressで構築されたサイト）を見ることができます。

上掲説明にある通り、不審な更新日付をもつファイル（あるいはその塊であるフォルダ）があるはずです。

ファイルの中身はメモ帳形式でもなんでも確認することができます。全然関係ないtelegramについての記述などがあったら、即座に怪しいと思った方がいいでしょう。

また更新日付のみならず、怪しい名前のファイル、つまりWordPressの元々の構成ファイルでないようなものがみつかったら、中身を開き、怪しかったら削除しましょう（但し下記の保存を忘れずに！）

リダイレクトハッキングは.htaccessか.phpファイル

この手のサイト構築に手を付けている人は、問題を起こすのが大概、.htaccessか.phpファイルなのは経験しているはずです。

私も、ただの経験で（というのも、この手のIT知識は系統立てて学んでいません。実戦でのみ身に付けています）、それらのファイルが問題を起こしているだろうと目星をつけ、実際そうでした（削除するのは.phpファイル）。

リダイレクトハッキングで起こるリダイレクトは、そもそも.htaccessか.phpファイルをいじくって行われるものですから、当然といえば当然でした。

【Kagoya説明】リダイレクトを実現する5つの設定方法

FileZillaを使う

削除する前にファイルやフォルダをローカル（自分のPCのどこか・・・ドキュメントとか）に保管する必要があるのですが、一番ベタなのはWordPressプラグインのUpdraftを使うことです。

UpdraftPlus Home

UpdraftPlus is the world's leading WordPress backup, restore & migration plugin. Used on millions of WP sites, you can b...

teamupdraft.com

しかし、これだと全部が一度にセーブされてしまいます。そうじゃなくピンポイントでファイルなりフォルダを保管するには、どうすればよいでしょうか。

それにはFileZillaを使いましょう。

FileZilla - The free FTP solution

FileZilla - The free FTP solution for both client and server. Filezilla is open source software distributed free of char...

filezilla-project.org

もちろん、こんな説明でUpdraftやらFileZillaがなにかわかるはずもありません。知らない人は、数週間かけて学ぶしかありません。記事作成者として、この点、説明が不十分であることを詫びておきます。

コピーペーストも使う。とにかく問題はフォルダ。

もしレンタルサーバー上では、ファイルをコピーペーストすることもできるなら、そういった手法も、ファイルやフォルダをダウンロードする前に考えてみてください。

ファイルは、基本的に容量が小さいので、UpdraftやFileZillaを使わなくても、レンタルサーバー上（FTP接続サーバー上）からワンクリックで直接ダウンロード、アップロードできます。

問題はフォルダ（黄色いファイルの塊）で、これは大容量になるためにUpdraftやFileZillaのお世話にならないといけないのです。