Web サイトがハッキングされたり、悪意のあるコードや奇妙なリダイレクトが挿入されたりした場合、 一番の目標は「すぐに美しくする」 ことではなく、隔離 - 証拠の収集 - 安全に復元し、 再感染を避けるために強化することです。以下は、優先順位 P1 → P2 → P3 の順に、すぐに適用できる実際の戦闘プレイブックです。
明確な責任者がいるSLA P1 ≤ 2~4 時間のレスキュー フレームワークが必要な場合は、ホーチミン Web サイト メンテナンス サービス (トラブルシューティング、リカバリ、および強化のプレイブック) を参照できます。ホーチミン ウェブサイト メンテナンス サービス.
1) 素早い識別 (5 ~ 10 分)
一般的な兆候
見慣れないページに自動的にリダイレクトします (特に Google/di からアクセスした場合)ダイナミック)。
異常な壊れたインターフェース、奇妙なポップアップ/iframeが埋め込まれ、日本/製薬リンクが挿入されました。
サーバーのCPU/IO が突然増加し、メール/ホスティングがマルウェアを報告します。
Google Search Console がセキュリティを報告問題 (マルウェア/不正なコンテンツ)、セーフ ブラウジングは「有害な Web サイト」 と警告します。
ログには異常な 404/5xx が多数記録され、ブルートフォースでログインします。
範囲の決定
サイト全体または一部 (ブログ、 /wp-content/uploads、テーマ/プラグイン)?
Google/モバイル クライアントのみ、それともすべて?
本番環境やステージングにも影響を受けますか?
2) P1 – 証拠の分離と保存 (0–60)分)
目標: 感染拡大の防止、調査のための現状維持、回復 phục lưu thông an toàn.
Bật chế độ cách ly
Tạm 公開パスワード trên サーバー/ngăn truy cập IP (nếu có thể).
Hoặc trả 503 メンテナンス cho các đường dẫn công cộng (đừng 302/301)。
WordPress の場合: メンテナンス ページを静的に設定します (動的 PHP を実行しないでください)。
触れる前にフォレンジックをバックアップする
ソース コード全体と DB のスナップショットを作成します。 + ログ (ウェブ、PHP-FPM、WAF/CDN) を制御して後でチェックします。
コピーをオフサイト (オフサイト) に保存します。
キーの変更とセッションの無効化
パスワードの変更(ホスティング/SSH/DB/CMS/FTP)、2FA で。
取り消し API トークン (CDN、支払い、SMTP)、セッションを無効化します (すべてログアウト)。
奇妙なものを分離します。プロセス
一時的に疑わしい cron を停止し、プロセス PHP/奇妙なコマンドを強制終了し、簡単に挿入できるディレクトリ (
/uploadsなど) への書き込みを一時的にロックします。
フェーズ P1 の目標は出血を止めることです。調査に使用できるコピーがない場合でも、急いで「クリーンアップ」しないでください。
3) P2 - 原因を調査し、クリーンアップします (2 ~ 6 時間)
3.1 エントリ ポイント (攻撃ベクトル) を特定する
一意の管理者アカウント、外部からのログイン試行IP?
プラグイン/テーマが更新されました。更新されたか、信頼できないソースからダウンロードされましたか?
/uploads、/temp、または .htaccess 内の PHP アップロードが破損していますか?DB インジェクション: 奇妙です
wp_options、siteurl/home、投稿メタ、メニューのコンテンツ。
3.2 悪意のあるコード署名のチェック (IOC – 侵害の兆候)
一般的な PHP パターン:
eval(base64_decode(...))、gzinflate、str_rot13、preg_replace('/e', ...)、assert($_POST...)。不審なファイル:
/wp-includes/内の偽のwp-*.php、ランダムなファイル名.ico/.jpgですが、PHP、cron/backdoor が/wp-content/mu-plugins/に含まれている、または/wp-content/sessions/..htaccess ユーザー エージェント/リファラーに従ってリダイレクト ルールを追加します (Google/モバイルからの場合のみリダイレクトします)。
3.3 安全な順序でクリーンアップする
書き込み権限を凍結 (のみ)技術者に許可があります)。
メイン ソースからコア (WP コア、CMS コア) を置き換えます。
未使用または疑わしいプラグイン/テーマを削除します。
残りのプラグイン/テーマをクリーン インストールします (オリジナルをダウンロードします)
スキャンと削除:
ファイル レベルのスキャン: 悪意のあるコード サンプルを見つけ、チェックサムをクリーンなバージョンと比較します。
DB レベルのスキャン: 奇妙なスクリプトを見つけます。
options/posts/meta/terms.
Webshell/バックドアを削除します (隠し PHP ファイル、奇妙なファイル拡張子)。
.htaccess/nginx conf をクリーンアップします (奇妙なリダイレクト ルールを削除し、基本的な書き換えを保持します)。
ソルト、キー (WP
AUTH_KEY、SECURE_AUTH_KEY…) を再生成し、すべてのパスワードを変更します。
3.4 「スマート」リダイレクトを確認する
Google/モバイルからのアクセス(別の UA を使用)UA/リファラーに従ってルールを検出します。
クリーンアップの前後でログを照合し、マネー ページ URL のHTTP 200 標準を確認します。
4) P3 – サービスの復元と SEO クリーニング (1 ~ 3 日目)
4.1 オープン制御アクセス
メンテナンス/503 をアンロードし、必要に応じてサイトを部分的に有効にします。
最初の 48 ~ 72 時間はWAF/CDN を「厳密」モードに保ちます(攻撃パターンをブロックします)。
4.2 SEO を復元するシグナル
Google Search Console で、クリーンアップ後にセキュリティの問題とレビューのリクエストを開きます(簡単な説明「悪意のあるコードの削除、コア/プラグインの置き換え、キーの変更、WAFの有効化」)。
ジャンク URL を削除します(ハッカーが多数のスパム ページを作成した場合)。削除ツールまたは適切な方法で行います。 410/301.
クリーンなサイトマップを返送します。 カバレッジ (404/ソフト 404/代替正規) を確認します。
robots.txt を再比較します (隔離後に誤ってブロックしないように注意してください)。
4.3 7 ~ 14 を注意深く監視します。日
5xx/CPU/IO グラフ、ログイン番号失敗、奇妙な国のトラフィック。
コア ウェブ バイタル (重いスクリプトをプルするマルウェアを回避)、GSC のクリック率/インプレッション。
トランザクションのあるサイトの場合は、支払いを確認してください。 Webhook、注文サイクルが変更されていないことを確認するためのテスト支払い (サンドボックス/実質小規模)。
5) 再感染を防ぐための強化 (第 1 週)
インフラストラクチャ レイヤー
WAF/CDN (Cloudflare/…): ボットを有効にする戦い、攻撃国をブロック、レート制限
/wp-login.php、/xmlrpc.php、機密パスにチャレンジを適用します。TLS 1.2+、HSTSを有効にします。 HTTP/2/3。
アプリケーション層
プロセス更新: ステージング → テスト → 本番、ロールバックあり。
プラグイン/テーマのアンインストールは無効です。プラグインの数を最小限に抑えます。
ダッシュボードでのファイル編集を無効にします (WP
DISALLOW_FILE_EDIT)。FTP/DB/CMS の最低権限を分散化します。個別のCI/CDアカウント。
XML-RPCの無効化/制限、管理者の2FAの有効化、ログインURLの変更(該当する場合)。
セキュリティ構成レイヤー
コンテンツセキュリティポリシー(CSP): ホワイトリスト ドメイン スクリプト/img/font。
X-Frame-Options / Permissions-Policy / Referrer-Policy.
フィッシング、メディア/スクリプトのアップロード ルールについてコンテンツ チームをトレーニングします。
ユーザーへの透過的な通知 (レベルは影響を受けるデータによって異なります)。
危険にさらされているユーザー グループのパスワード変更を強制します。古いログイン トークンを無効にします。
支払い/PCI/PII、法律相談、規制報告のコンプライアンスに関連する場合。
503/メンテナンスをオンにし、パブリックを一時的にブロックします
スナップショット コード + DB +ログ (オフサイト)
正式webshell/バックドアのスキャンと削除、.htaccess/nginx
のクリーンアップDBのスキャン(オプション/投稿/メタ)、編集
siteurl/homeソルト/キーを再生成し、すべてのパスワードを変更します
サイトを開き、WAF/CDN を厳密なレベルでオンにします
リクエストGSC でのレビュー、クリーンなサイトマップ
削除/410 ジャンク URL、ロボット/カバレッジのチェック
CSP、HSTS、セキュリティ ヘッダー、2FA、最小権限
スケジュールの更新ステージング、バックアップ 3–2–1、 テスト復元
稼働時間の監視/5xx、整合性スキャン、監査ログ
- (更新、404/301 のクリーンアップ、マルウェアのスキャン、CWV、ログ)。
毎月のメンテナンス ロードマップ (チェックリストの更新、繰り返し発生するエラーのクリーンアップ、監査/テクニカル SEO の高速化) が必要な場合は、クリーンで安定したウェブサイトについては、Tan Phat Digital チームが構築した月次ウェブサイト メンテナンス プロセスを参照してください: ウェブ メンテナンス サービス。
6) コミュニケーションと法律 (禁止)見逃す) 忘れる)
7) よくある質問 (FAQ)
「日本人/製薬会社」によってハッキングされた場合、ファイルのクリーニングで十分ですか?
通常はそうではありません。このフォームは多くの場合DB を挿入します(メタ、オプション、メニュー)。 ファイル + DB をスキャンし、.htaccess を編集し、キーを再生成してから、WAF を有効にする必要があります。
バックアップを復元して完了する必要がありますか?
復元はクリーンな開始点に役立ちますが、攻撃ベクトルがカバーされていない場合(プラグインの欠陥、キーの漏洩)、サイトは再感染しやすい。復元後は常に強化されます。
Google が「有害なウェブサイト」警告を削除するのにどのくらい時間がかかりますか?
通常は審査リクエスト後24 ~ 72 時間で、非常にクリーンになります。
Google/モバイルからアクセスする場合のみリダイレクトし、直接アクセスしない → ハッキングされていますか?
可能性は非常に高いです。攻撃者は多くの場合、UA/ リファラー条件を使用して非表示になります。 .htaccess を確認し、スクリプトとログを挿入してください。
8) 概要チェックリスト (印刷して壁に貼り付けます)
P1 – 隔離
P3 – リカバリと SEO
強化
シェア
