【WordPressの悪質なリダイレクト】LiteSpeedの影響でwp-cleansongが勝手に

自分が運営しているサイトに不正なリダイレクトが発生したので、徹底的に調査しました。

WordPressの不正なリダイレクト。
最近レンタルサーバーによって自動でLiteSpeedがインストールされるが、古いバージョンのせいで「wp-cleansong」がインストールされてしまう。
WordPressの管理画面とFTPサーバーを比較すると、表示されている個数が異なる。WordPressの管理画面でも表示されてい..... pic.twitter.com/CpYCCRZ4GN

— Yusuke Goto - 後藤優介 (@YusukeGoto_) March 11, 2024

「LiteSpeed Cache」の古いバージョンの影響により、「wp-cleansong」が邪魔して詐欺サイトにリダイレクトされていました。

サイトスピードの計測ツールでもリダイレクトされて、計測不可能。

具体的な解決策が見つかったわけではありませんが、とりあえずわかっただけでも違うと思い共有しました。

検証ツールでも「api.bestresulttostart.com」が確認でき、Scriptタグで実行。

イラついたので「LiteSpeed Cache」と「wp-cleansong」を削除。よくないが、、、

「LiteSpeed Cache」に関しては最新版に更新すれば問題はなさそうだが、イラついたから削除

予想はしていたが、削除しただけでは解決はできなかったので、おそらくデータベースかファイルに悪質なコードを置かれていると思いました。

さらに調査すると「wp-blog-header.php」が書き換えられているとのこと。
このファイルを元に戻さない限り、悪質なプラグインを削除してもリダイレクトは続く。

どうやら「wp-blog-header.php」が書き換えられたらしく、FTPから見ても悪質なコードは確認できなかった。パソコンにダウンロードして、テキストエディタで見ると悪質なコードを確認できた。 pic.twitter.com/wn8atAo4jZ

— Yusuke Goto - 後藤優介 (@YusukeGoto_) March 11, 2024

これを他のWordPressのファイルから持ってくるか、公式からダウンロードしましょう。

最新版にすれば問題ないと思うので「LiteSpeed Cache」を再度インストールしておきましょう！

また、リダイレクトが解決してもサーバーキャッシュが残っている場合、リダイレクトされることもあるので忘れずに。

1. LiteSpeedを最新wp-版にインストール

2. WordPressのユーザーから、身に覚えのないユーザーを削除

3. FTPからwp-cleansongを削除

4. 最後にwp-blog-header.phpを上書きする

本当に面倒だなこのクソ野郎が。