自分の管理ではないWordpressのサイトにアクセスすると、「destinywall.org」のサイト経由で、さまざまな怪しいサイトに遷移するという事象に遭遇した。
これの対応を行ったのだが、最初はサイトに何かを埋め込まれたと思い、ファイルのタイムスタンプや一時経由のURLを検索したが反応なし。ウェブページもすぐに遷移してしまうため、状況がみれず。そのため、wgetでINDEXを取得して、HTMLファイルの中を検索したが、文字列は見つからず。
次に切り分けのため、Wordpressのテーマも切り替えたが、解決せず。そのため、テーマではなく、もっと共通の部分に、何かが仕込まれている、という仮説の元、一つ一つプラグインを無効化していった。無効化していった結果、「Yuzo Related Posts」を無効化したときにサイトの表示が正常に戻った。これが原因ということで、いろいろと調べたところ、このプラグインの脆弱性を利用されて、別ページに飛ばされることが判明した。
対処として、
- プラグインを削除
- DBにアクセスし、wp_optionsから、「yuzo_related_post_options」のキーのデータを削除
これで対応完了。プラグインもかなり大量に入っていたので、結構大変だった。なんだかんでプラグインは少ない方がよい。(プラグインの管理も大変)
https://wordpress.org/support/topic/remove-this-plugin-immediately/