Cocoonフォーラム

サイト内検索
書き込みの前に以下の3点をご確認ください。
  1. 1つのトピックにつき1つの質問を書き込んでください
  2. 不具合・カスタマイズ対象ページのURLを提示高速化を無効にしてください
  3. 該当部分のキャプチャ・環境情報とともに書き込んでいただけると助かります

何を書き込んだら良いか分からない場合は、以下のテンプレートをコピペしてご利用ください。

不具合・カスタマイズ対象ページのURL:

相談内容:

不具合の発生手順:

解決のために試したこと:

※文字だけでは正しく伝わらない可能性があるため、スクショ画像の添付もお願いします。
※高速化設定をしている場合は無効にしてください。
環境情報:

※↑こちらに「Cocoon設定 → テーマ情報」にある「環境情報」を貼り付けてください。

環境情報の取得方法はこちら。
https://wp-cocoon.com/theme-report/
高速化設定を無効にするにはこちら。
https://wp-cocoon.com/theme-trouble/

フォーラム利用ガイドリンク

  1. フォーラムガイドライン
  2. よくある質問と答え(FAQ)
  3. サポート対象外のケース
  4. 原因不明の不具合用トラブルシューティング
  5. トピックにHTMLを貼り付ける方法(推奨ツール:notepad.pw
  6. 真っ白画面でのエラーメッセージの確認方法
  7. ブラウザ環境チェックツール
  8. Cocoonカスタマイズ依頼

フォーラム質問後、問題等が解決した場合は結果を書き込んでいただけると幸いです。同様の問題で調べている方には、結果が一番気になる部分となります。

不審なスクリプトタグが埋め込まれている...
 
共有:
通知
すべてクリア

[解決済] 不審なスクリプトタグが埋め込まれている?

12 投稿
5 ユーザー
7 Reactions
1,340 表示
(@ちー)
Active Member
結合: 7年前
投稿: 15
トピックスターター  

お名前.comから「不審なサイトが公開されている」とメールがありました。

お名前.comに問い合わせると、不審なスクリプトタグが埋め込まれているとのことでした。

(添付ファイル)

 

当方で確認しましたが、どこに埋め込まれているのかわからず、

どのようなスクリプトタグなのかもわかりません。

 

このタグはもともとcocoonに埋め込まれているものでしょうか?

それとも当サイトが改ざんされて誰かに埋め込まれたのでしょうか?

 

----------------------------------------------
サイト名:温泉マップ
サイトURL: https://onsenmap-gide.com
ホームURL: https://onsenmap-gide.com
コンテンツURL:/wp-content
インクルードURL:/wp-includes/
テンプレートURL:/wp-content/themes/cocoon-master
スタイルシートURL:/wp-content/themes/cocoon-child-master
親テーマスタイル:/wp-content/themes/cocoon-master/style.css
子テーマスタイル:/wp-content/themes/cocoon-child-master/style.css
スキン:/wp-content/themes/cocoon-master/skins/skin-fuwari-ebicha/style.css
WordPressバージョン:5.8
PHPバージョン:7.3.25
ブラウザ:Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Gecko/20100101 Firefox/91.0
サーバーソフト:Apache
サーバープロトコル:HTTP/1.1
言語:ja,en-US;q=0.7,en;q=0.3
----------------------------------------------
テーマ名:Cocoon
バージョン:2.2.9
カテゴリ数:48
タグ数:0
ユーザー数:1
----------------------------------------------
子テーマ名:Cocoon Child
バージョン:0.0.5
style.cssサイズ:922バイト
functions.phpサイズ:169バイト
----------------------------------------------
Gutenberg:1
AMP:0
PWA:0
Font Awesome:4
Auto Post Thumbnail:0
Retina:0
ホームイメージ:/wp-content/themes/cocoon-master/screenshot.jpg
----------------------------------------------
ブラウザキャッシュ有効化:0
HTML縮小化:0
CSS縮小化:0
JavaScript縮小化:0
Lazy Load:0
WEBフォントLazy Load:0
----------------------------------------------
利用中のプラグイン:
AddQuicktag 2.6.1
BackWPup 3.9.0
Broken Link Checker 1.11.15
Redirection 5.1.3
REST API Taxonomy Boxes 1.1.0
Shortcodes Ultimate 5.10.2
SiteGuard WP Plugin 1.6.0
WP Multibyte Patch 2.9
----------------------------------------------

 


   
引用
はる
(@haruinoue)
Noble Member Moderator
結合: 4年前
投稿: 1090
 

スマホからなので実際のURLやどこに埋め込まれてるのか等確認していませんが、怪しい感じがします。

少なくともCocoonによるものではないと思います。


   
わいひら reacted
返信引用
mk2
(@mk2_mk2)
Illustrious Member Moderator
結合: 4年前
投稿: 8063
 

私もスマホからですので、調べたりは難しいですが。

scriptの名前で検索してみると、マルウェアっぽい感じがします。
(以下、検索結果画像の上部)


   
わいひら reacted
返信引用
はる
(@haruinoue)
Noble Member Moderator
結合: 4年前
投稿: 1090
 

添付画像はトップページのソースですが、101~103行目に埋め込まれているようです。

URL等は貼りませんしなぜかスクリプトが上手く動作していないようでしたが、外部のサイトを開かせるもののようでした。

これが何によって埋め込まれているのかを外部から特定するのは困難です…。

  • プラグインを全部停止してみる
    →出力されなくなったらプラグインのどれかが原因
    →一つずつ有効にしてみて、出力されるようになったらそのプラグインが原因
  • テーマを親テーマに変更してみる
    →出力されなくなったら子テーマが原因
  • テーマをCocoon以外に変えてみる
    →出力されなくなったらテーマが原因
  • それでも出力される
    →WordPress本体が原因かも。ダッシュボードの「更新」からWordPressを再インストールしてみる

この辺で原因が特定できたら良いですが…。


   
わいひら reacted
返信引用
わいひら
(@yhira)
Illustrious Memberサイト Admin
結合: 7年前
投稿: 17375
 

今見た限りでは、はるさんが貼り付けられた該当部分にはコードはなくなっているようです。
すでに何か対処をされたのかな?
対処後でしたら、よろしければ何が原因だったのか教えていただければ幸いです。


   
返信引用
(@ちー)
Active Member
結合: 7年前
投稿: 15
トピックスターター  

@haruinoue 

調べていただきありがとうございます。

当方でも見てみましたが、コードはなくなっていました。

はるさんとわいひらさんが返信いただいた時間帯はPCにはさわっていないので特に対処はしておらず、

なぜコードがなくなってしまったのかわかりません。

 

やはり誰かに当サイトが乗っ取られたのでしょうか?

セキュリティプラグインの「SiteGuard」を入れていますが、

ログイン履歴を見ても不審なログイン履歴はありません。

それともバックドアを仕掛けられてしまったのでしょうか?


   
返信引用
リフィトリー
(@leafytree)
Illustrious Member Moderator
結合: 6年前
投稿: 6845
 

前略、ちーさん

今回の件と関係あるかどうかはわかりませんが、アフィリエイトリンク等で「target="_blank"」を使うときは、「rel="noopener"」の属性も付けておいた方がいいのかもしれません。


   
返信引用
はる
(@haruinoue)
Noble Member Moderator
結合: 4年前
投稿: 1090
 

勝手になくなったということは、今も誰かがコードを入れたり消したりできる状態にあるのかも知れないので安心はできないと思います。

どちらかと言えばWordPressよりもサーバーへのログインが心配なので、確認できるようであればそちらも不審なログインがないか見てみた方が良さそうです。

また、パスワードも変更しておいた方が良いと思います。


   
わいひら reacted
返信引用
mk2
(@mk2_mk2)
Illustrious Member Moderator
結合: 4年前
投稿: 8063
 

最初に画像添付いただいた、お名前.comの指摘のものの、URLのドメイン部と。。。
はるさんが発見してくださったものの、ドメイン部は、異なります。

果たして同じものと考えて良いのかどうか。。。という気はします。
ページによって、違うものを表示しているのかもしれません。

また、はるさんの仰っている通り。

投稿者:: @haruinoue

勝手になくなったということは、今も誰かがコードを入れたり消したりできる状態にあるのかも知れないので安心はできないと思います。

毎回でてくるものではなく、何らかのキッカケで出てきたりするのかもしれません。

マルウェアなどを検索できるタイプのセキュリティプラグインの導入などを考えても良い気はします。

どのページに出ているなど、他の情報が分かると良いのですけれど。


   
わいひら reacted
返信引用
(@ちー)
Active Member
結合: 7年前
投稿: 15
トピックスターター  

本日何度かトップページのコードを確認しましたが、

不審なコードは挿入されていないようでした。

 

サーバーはスターサーバーを利用していますが、

ログファイルでログイン情報が見られるのでしょうか?

こちらを見てもいまいちわかりません。

パスワードは変更しました。

 

また、Googleのセーフブラウジングでチェックしたり、

ワードプレスドクターというプラグインを入れてチェックしましたが、

マルウェアは見つかりませんでした。

 

他に対策できることはありますでしょうか?


   
返信引用
mk2
(@mk2_mk2)
Illustrious Member Moderator
結合: 4年前
投稿: 8063
 

ちーさん

再現できないことには、なかなか難しいという印象です。
(何がscriptを出していたか分からない。)

 

とりあえず、基本的な対策として…ですが。

WordPressのログイン画面は隠しておいた方が良いと思います。

例えば、今ちーさんのサイトは、https ://onsenmap-gide.com/wp-admin/へアクセスすると、自動的にログイン画面へと転送されてしまいます。

これは、転送されないようにしておいた方が良いと思います。

プラグイン「SiteGuard WP Plugin」でできるはずです。
https://www.jp-secure.com/siteguard_wp_plugin/howto/rename_login/

上記の機能が有効になっていますから、現状のログイン画面のURLは、既に外部の人間に知られてしまったということと思われます。

現在のログイン画面のURLは変更した方が良いと思います。

 

とは言え、ログイン画面から正攻法で侵入したとは…ですけど。
ログイン履歴に残っていないのでしょうし。


   
わいひら reacted
返信引用
(@ちー)
Active Member
結合: 7年前
投稿: 15
トピックスターター  

mk2さん

アドバイスありがとうございます。

自動的にログイン画面へと転送されてしまうんですね!

知りませんでした。

SiteGuard WP Pluginで設定・変更しました。

ありがとうございます。


   
わいひら reacted
返信引用
共有:

問題の解決に至った場合には、トピック冒頭の「解決済み」をクリックしていただけますと幸いです。

また、有用な回答があった場合は返信右下にある「いいね!」もご活用ください。回答者の励みになります。

「いいね!」機能はフォーラム登録者のみが利用できる機能です。

CC BY-ND 2.1)準じていれば(リンクを貼っていただければ)転載も自由です。カスタマイズ記事を書く際にコード等をコピペ利用していただいて構いません。

フォーラムの使い方がよくわからない場合は、テストトピックで自由にテストしていただいて構いません。

最近の書き込みはこちら。

詳細なカスタマイズ依頼をするならこちら。

タイトルとURLをコピーしました