【サイト乗っ取り】404・444・htaccess・リダイレクト・通販サイト

2017.06.10
ブログ

WordPressでサイトを運用している方はWebについて技術知識がない方も多くいらっしゃいます。今回、Aimに数多く寄せられたトラブルで、緊急措置としてみなさんに共有しておきたいことがありますので、ご確認ください。

WordPressに限らずですが、キーワード検索で沖縄オーレのサイトが見つかった方は参考にしてください。

キーワード

・通販サイトに自動で飛ぶ（リダイレクト）
・アクセスが急に激減
・htaccess が自動で書き換えられる。パーミッションが勝手に「444」になる。書き換えてもまた書き換えられる。
・404のエラーコード（403・500・503）

1. 【サイト乗っ取り】404・444・htaccess・リダイレクト・通販サイト

【サイト乗っ取り】404・444・htaccess・リダイレクト・通販サイト

他のサイトを見る限り、Wordpressが乗っ取られた後の解決策や打開策がないまま、サイトのリニューアルをするしかないという最悪な結果を促す方が多かったのですが、とりあえずの問題としてサイトが表示されないのはマズいので、応急処置ではありますが、乗っ取られからの改善方法をお伝えしたいと思います。

なぜWordpressが乗っ取られたのか

ブログを更新していなくても狙われる
パスワードとドメイン名（ブログ名）が同じ（または近い）
WordPressのプラグインの脆弱性を狙われた
アクセスが激減した時間帯は朝0時〜（狙われた時間）
一斉に攻撃ではなく、随時サイトを攻撃

上記以外にも乗っ取られた原因、要因はあると思いますが、Aimに寄せられた質問・相談を聞いたことを整理すると上記になります。結論からいうと、原因を探る前に、早急に応急処置をするべき!!です。

WordPress乗っ取られた結果。

通販会社に飛ばれれる。

（時計・靴・鍋など）飛ばされたのは全部同じドメイン。（リンクはクリックしないで下さい）

http://www.watchshops.win

代表者名を調べたが存在しない。

渡辺代子

住所を調べたが存在しない住所（福岡）

福岡県福岡市中央区天神一丁目30番451号

管理画面にもログインできなくなる

FTPがわからない方はここで撃沈

検索できない

ドメイン直接打ちだとサイトは見れる場合があるが、自分の所有するブログを検索して、ページをクリックすると上記サイトが表示される。

みなさんの解決策（全て未解決）と、パターン。

1：レンタルサーバー会社に電話

「Wordpressのデータを全部削除して、新しいデータを入れ直してください」解決に至らない。

2：サイトの削除（最悪の事態です）

AimでもWordpressの乗っ取りについて調べたんですが、解決策が見つかりませんでした。Web初心者はここでノックアウトされています。

3：FTPでhtaccessを直接編集（素人はここで撃沈）

3−1：ファイルマネージャーなどを使って直接html・phpをチェック。結果、リダイレクトが一番の問題と発見。リダイレクトの命令を出すファイル、htaccessにたどり着く。

3-2：しかし、htaccess を基本コードに書き直して、編集ができない。もしくは元に戻る。

↓

3-3：パーミッションが444になっている→604に修正→htaccessを再編集。

WordPressを特にいじっていない場合の基本記述は以下になります。

htaccessの基本コード

suPHP_ConfigPath /home/サーバー名/あなたのドメイン.com/xserver_php/
AddHandler fcgid-script .php .phps
FCGIWrapper “/homeサーバー名/あなたのドメイン.com//xserver_php/php-cgi” .php
FCGIWrapper “/home/サーバー名/あなたのドメイン.com/server_php/php-cgi” .phps
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

3-4：基本記述を編集しても直らない場合

↓

3-5：htaccessファイルをテキストファイルで作成→別名でサーバーにアップロード→ サーバー上でファイル名を変更「.htaccess」。アップロードした瞬間はファイルが書き換えられているが、数秒すると、また乗っ取り記述が追加され、なおかつパーミッションも444に自動変更されている。

このループです。

また、場合によりますが、今までのマルウェア（ウィルス）はパブリックフォルダのいずれかのファイルに、見えないようにウィルスコードを入れているので、素人の皆さん心を折られています。（最悪の事態）

改善策を発見

数年前のwordpres（CMS）乗っ取りの場合、wp-config.phpにウィルスを記述しているという方が多かったのですが、Aimも確認したところ、今回は別のファイルに悪しきコードが記述されていたので、解決方法をご紹介します。

Aimが検証し簡単に解決した方法を紹介

乗っ取りの相談があった方から、サーバー情報を聞いて、実際にファイルを確認してみました。

シチュエーション確認

・Wordpress最新バージョン
・Xserver
・PHP最新バージョン
・Wordpress運用期間；1年間

解決方法

全てのファイル更新日をチェック。
※記述が書き込まれている場合、ファイル更新日がhtaccessと同じ日or同じ時間になっています。

乗っ取られたファイル

index.php

wp-blog-header.php

上記のファイルの、最初or最後の方に乗っ取り記述があります。画像を添付しておきます。

この画像の記述が悪さをしています。

この画像の記述にもある、<?php〜・・・?php>まで削除します。下記の部分のみが基本の記述になっています。（wp-blog-header.phpの場合）

index.phpの基本コードは以下

※画像はxserverのファイルマネージャー参照。

この記述だけにした後に、htaccessを編集してクリーンにする。

ポイント

・更新日時が新しいファイルを開いてウィルスチェック

・htaccessは最後に編集

改善方法を再確認してください。

まず、この操作は素人の方にはオススメしませんが、どうしてもチャレンジしたいという場合は、webファイルのバックアップは確実にしてください。

wordpressの管理画面に入れる場合、ツール→エクスポート→全部をバックアップしておいてください。

ファイルマネージャーを開く
ご自身のドメイン名がついているフォルダ(home)→public_html→wp-blog-header もしくは index.php（これ以外は確認できていません）。
そのファイルを開き、要らないコード（上記画像）を削除
htaccessのパーミッションを444→644に変更
htaccessファイルを開き、要らないコードを削除（htaccessの基本コードを参照↑）
sitemap.xmlも勝手に作成されていました。削除
google~~~.xmlも削除
〜〜全てのindex.htmlに不要なコードが含まれている場合はコードを削除
勝手にwordpressのテーマもインストールされていた。もちろん削除
知らないプラグインが勝手に・・・。削除
そして、すぐにWordpressのログインパスワードを変更（修正しないとまた乗っ取られています。）