これは WordPress の典型的な乗っ取り症状で、「マルウェアリダイレクト」と呼ばれます。攻撃者は、検索エンジン経由のアクセスだけを別サイトに転送することで、サイト管理者が気づきにくくしています。
感染経路で最も多いのは、古いプラグイン・テーマの脆弱性です。WordPress 本体は定期的に更新していても、プラグイン・テーマの更新を忘れているケースが多発。「以前入れて忘れていたプラグイン」「テーマショップから買って放置していたテーマ」が侵入経路になります。
感染するとどこに痕跡があるか。第一に wp_options テーブル。「siteurl」「home」が書き換えられていることがあります。第二にテーマファイル、特に functions.php、header.php、footer.php に難読化された JavaScript や PHP が埋め込まれます。第三に wp-content/plugins/ に見覚えのないフォルダが作られる。第四に wp-includes/ や wp-admin/ にバックドアファイルが置かれる。
対処の手順。まず Google Search Console を確認し、警告内容を把握します。次に、感染前の正常時バックアップを探します。バックアップがあれば、それと現状のファイルを比較することで、改変ファイルを一発で特定できます。
バックアップが無い場合は、WordPress 公式の同バージョンと比較する手段があります。wp-cli が使える環境なら、wp core verify-checksums で改変ファイルを検出できます。
復旧後の対策として、すべてのパスワード変更、不要なプラグイン・テーマの削除、WordPress 本体・プラグイン・テーマの最新化、Wordfence や iThemes Security の導入、ログイン画面の URL 変更、二段階認証の有効化、定期バックアップの仕組み化、を行います。
Google Search Console から「セキュリティ問題」セクションで「審査をリクエスト」する手続きも忘れずに。これをしないと、検索結果に警告が出続けます。
感染経路で最も多いのは、古いプラグイン・テーマの脆弱性です。WordPress 本体は定期的に更新していても、プラグイン・テーマの更新を忘れているケースが多発。「以前入れて忘れていたプラグイン」「テーマショップから買って放置していたテーマ」が侵入経路になります。
感染するとどこに痕跡があるか。第一に wp_options テーブル。「siteurl」「home」が書き換えられていることがあります。第二にテーマファイル、特に functions.php、header.php、footer.php に難読化された JavaScript や PHP が埋め込まれます。第三に wp-content/plugins/ に見覚えのないフォルダが作られる。第四に wp-includes/ や wp-admin/ にバックドアファイルが置かれる。
対処の手順。まず Google Search Console を確認し、警告内容を把握します。次に、感染前の正常時バックアップを探します。バックアップがあれば、それと現状のファイルを比較することで、改変ファイルを一発で特定できます。
バックアップが無い場合は、WordPress 公式の同バージョンと比較する手段があります。wp-cli が使える環境なら、wp core verify-checksums で改変ファイルを検出できます。
復旧後の対策として、すべてのパスワード変更、不要なプラグイン・テーマの削除、WordPress 本体・プラグイン・テーマの最新化、Wordfence や iThemes Security の導入、ログイン画面の URL 変更、二段階認証の有効化、定期バックアップの仕組み化、を行います。
Google Search Console から「セキュリティ問題」セクションで「審査をリクエスト」する手続きも忘れずに。これをしないと、検索結果に警告が出続けます。
初動チェックリスト
- 1.Google Search Console で警告内容を確認
- 2.感染前のバックアップを探す
- 3.wp-cli core verify-checksums で改変検出
- 4.wp_options の home/siteurl を確認
- 5.すべてのパスワード変更
この症状でお困りなら、まず無料相談
60分無料相談を予約