自分でも出来る不正ページ(リンク)が貼られた際の対処法

ハッキング対処法-サムネイル画像 WEB・デザイン

こんにちは。

今回は、自分で運営しているサイトがハッキングされた時の自分でも対処できる簡単な方法をご紹介します。

※セキュリティのプロでは無いので、この対処法で全て解決というわけではありません。

あくまで参考情報としていただき、上手く対処出来ない案件の場合は、セキュリティのプロの会社へご依頼した方が確実です。

これは、実際に当サイトに知らないうちに全く異なるページが追加されていた時にとった対応です。

スポンサーリンク

知らないページが追加されている!?

まず、なぜそれに気づいたかですが。

私は定期的にGoogleサーチコンソールで、当サイトがどういった検索キーワードで表示されているかを確認しています。

Googleサーチコンソールとは!?

Googleが提供するツールで、サイトの検索トラフィックや掲載順位を測定できるほか、問題を修正し、Google 検索結果でのサイトの注目度を高めることができます(Google Search Consoleの公式サイト本文抜粋)

詳細はこちらから

Google Search Consoleの公式サイト

Googleサーチコンソールを利用したことがある方は分かるかと思いますが、

Googleサーチコンソールの検索パフォーマンスで、サイトがどういった検索キーワードで検索エンジンに表示されて、クリックされているかがわかります。

今回、ふと急に表示回数もクリック数も急増する日がありました。

いつもの数十倍。。。

これは、おかしいと思い、検索ワードを見てみると「格闘技関連のキーワード」や「通販サイト関連のキーワード」などがたくさん表示されていました。

当サイトとは全く関係無いキーワードばかりで、しかもクリックされている。

どういうこと?と思い、そのクリックされたページもGoogleサーチコンソールで確認すると、

https://alcuesto.jp/知らないページの文字の羅列/

このように、自分では作成していないページが追加されている!!

この知らないページの文字の羅列を今回は、わかりやすく仮でaaaとします。

つまり、Googleサーチコンソールで見ると、【検索パフォーマンス】→【クエリ】のところで「格闘技関連のキーワード」や「通販サイト関連のキーワード」がたくさん出ていて、

【検索パフォーマンス】→【ページ】のところで、クリックされているページがhttps://alcuesto.jp/aaa/○○やhttps://alcuesto.jp/aaa/△△といった感じで表示されていました。

これは明らかに不正ページだ!!ということで、なるべく早くの対処が求められる。

Googleサーチコンソールからもセキュリティによる問題として警告が来ていました。

※なるべく早くの対処が求められる理由としては、当たり前ですが下記が考えられます。

▮サイトとは関係無い情報やページがリンクされていることにより、サイトの質が下がりGoogleなどの検索エンジンから評価が下がる。つまり検索エンジンで表示されなくなる。

▮不正ページ・不正リンクを放置していることにより、新たな不正が追加される。セキュリティが甘いと知られてさらに狙われる。

▮不正クリックにも繋がり、Googleアドセンスやアフィリエイトの停止にも影響する。

などなど

スポンサーリンク

知らないページを削除!!

なぜハッキングされたかは後ほど考えるとして、とりあえずこの追加されているページを削除することが大事。

そこで私が行ったのは、まず、

① Googleサーチコンソールの削除でhttps://alcuesto.jp/aaa/を検索から削除するように設定しました。

削除の仕方は、【Googleサーチコンソール】→【削除】→【新しいリクエスト】で指定のURLを記載。

次に

②FTPソフトを起動しました。

私はファイルジラを使用しています。

ファイルジラのダウンロードURLはこちら

※今回はファイルジラの設定方法・使用方法の説明は省きます。

そこで、当サイトの内容を確認すると、aaa.phpという不正に追加されたであろうURLと同じファイル名のファイルを発見!!

すぐさまこいつを削除。

これで一安心。

かと思ったら、よくよく見ると、知らない.phpファイルがある!!(仮でこのファイルをbbb.phpとします。

このbbb.phpをダウンロードして、中のコードを確認してみるとbase64_decodeの文字が。

ハッキング対処法-イメージ画像1

これは、Googleサーチコンソールのヘルプの【セキュリティの問題】レポートにも記載があったコードです。

【セキュリティの問題】レポートの公式ページ

このページの【ハッキング: コード インジェクション】というところを見ると、下記のような文章があります。

検出を避けるためにわかりにくくした悪意のあるコード

応答やサイトで不審なコードがないか検索してください。「search」、「eval」、「base64_decode」、「unescape」がキーワードとして役立ちます。

これに該当していたので、このbbb.phpも削除してOK!!

かと思いましたが、まだでした。

ファイルジラで、当サイト内の他のフォルダを見ると、なんとこのbbb.phpが潜り込んでいました。

この他のフォルダというのは、FTPソフトでサイトを接続するとわかりますが、サイト作成したデザインの.phpや.htmlやcss以外にも、

メールのフォルダやWordPRESS利用だとその関連のフォルダなどたくさんあります。

このほとんどのファイル内に、bbb.phpが入っている!!しかも全部同じ時間帯に更新されているので、絶対同じ不正ファイルだと思い、全てを削除していくことに。。。

この作業で1時間くらい

これで、ほぼOKです。

不正される前のバックアップデータをお持ちの場合は、この後全て一度バックアップで再更新していた方がより良いかと思います。

この後、Googleサーチコンソールに【インデックス登録をリクエスト】して、クロールされるのを待ちます。

そして、クロール完了後にGoogleサーチコンソールを確認するとセキュリティによる問題として警告は表示されなくなっており、検索表示数やクリック数も以前と同じくらいの数値に戻っていました。

一旦解決ですが、これで終わってしまっては、また同様の事案を繰り返す可能性がある。

そこで、セキュリティ向上を行いました。

これは、上記のクロールを待っている間にでもやってしまうのが良いですね。

スポンサーリンク

セキュリティ向上!!

まず、今回のような不正ページの追加やハッキングなどの原因を考えます。

これが原因!!だというのは確定できませんが、下記のような内容が多いです。

特に、WordPRESSは世界中の約3割のシェアを持っている分、WordPRESSのサイトは狙われやすいというのもあります。

・WordPRESSシステム・プラグイン・テーマなど最新のものに更新されていない

・プラグイン・テーマなどが元々あまり利用されていない物だったり、不正の物、脆弱性がある物、などを使用している

・WordPRESSログイン、サーバーなどのパスワードが簡単で推測されやすいもの

などなど

当サイトは、WordPRESSシステム・プラグインなどは最新のものにしていましたし、プラグインも不正なものは使っていないはず!

と思い、とりあえずWordPRESSのログインパスワードやサーバーのパスワードなど、当サイトに関連する物で変更できるパスワードは全て変更。

また、プラグインでもセキュリティ向上ができるものを導入。

2021.3.29追記:導入したプラグインのご紹介

これでしばらく様子を見ることにしました。

最後に

ほとんどのサイトはセキュリティのプロでは無い人が運営しています。

その為、どんなサイトでもいつ不正ログインやハッキングがされるかはわかりません。

自分のサイトがいつ何かあっても対処できるように、

事前の対処はもちろん、不正が発覚した際の対処方法の知識も学んでおく方が良いかもしれませんね。

では、今回はこの辺で。

タイトルとURLをコピーしました