ワードプレスサイトに含まれるいくつかのindex.phpファイルに下記のようなコードがある場合マルウェア感染していますので要注意です。

index.phpを改ざんし、ワードプレスサイトのどのページが読み込まれても実施されるマルウェア

index.phpファイルに @include “\057v\151r\164u\141l\0571 とinclude文と上下に /*963c2*/ 等のコメントで挟まれている記載がある場合、そのコードはマルウェア本体を読み込むためのコードとなります。

このコードは難読化されており、難読化解除すると下記のような文字列となります。

@(include "/virtual/中略/.24b5f368.ico");

このコードは.24b5f368.icoというマルウェア本体を読み込み、サイトを別のサイトにリダイレクトするなどの不正な動作をサイトに実施させます。

上下に含まれる /*963c2*/ というランダムな文字列のコメントは、そのファイルにすでにマルウェアを埋め込んだかをハッカーが確認するためのものです。

対処方法

こういったファイルがサイトにあった場合はすぐに、@(include “/virtual/ を含む行と、上下のランダムな文字列のコメントを削除し、index.phpを再アップロードしましょう。

さらに、
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除] にてサイト全体のファイルとデータベースのマルウェア検査、を実施いただくこともお勧めいたします。

ユーザーのパスワード等も変更しておきましょう。

WordPress ドクターワードプレスのマルウェア駆除・セキュリティー対策のご依頼ご相談はワードプレスドクターまでお気軽にご相談ご依頼ください

関連記事:

  1. ワードプレスindex.phpに@include という1行のインクルード文がある場合マルウェアに感染しています
    ワードプレスのトップディレクトリや、テーマ等に存在するindex.phpに@include という1行のインクルード文がある場合マルウェアに感染している可能性が高いです。...
  2. ワードプレスが改ざんされたときに不正なJAVASCRIPTコードが埋め込まれるファイル10選
    ワードプレスで作成したサイトが、アクセスすると別のサイトに飛んでしまう(リダイレクト)、リダイレクトハックのコードがよく埋め込まれるファイルについて解説いたします。...
  3. ワードプレス 稀に、Google検索結果からのみサイトが別のサイトに飛ばされるリダイレクトハック
    ワードプレスが検索エンジンからの検索結果からジャンプしたときのみ、稀に(スマホだけというパターンもあります)別の不正なサイトに強制的に移動してしまうリダイレクトハックの解説と対処方法について解説いたします。...
  4. サイトが別サイトに飛んでしまうリダイレクトハックのデータベース改ざん事例
    サイトが別サイト(多くの場合、不正なソフトウェアのダウンロードや偽のECサイト、ロボット認証をクリックさせるサイトなどになります)に飛んでしまうリダイレクトハックは、ファイルの改ざんだけでなく、データベースに入り込んでいることがございます。 データベースのマルウェアによる改ざん事例と対処方法をいくつかご紹介いたします。...
  5. ワードプレスと同じフォルダにPHPMYADMINを設置するのは危険?
    phpMyAdminは、ブラウザーでデータベースの表示や、可能なあらゆる編集修正等ができる広く利用されているデータベースの管理システムですが、ワードプレスがインストールされているフォルダに設置されているとセキュリティー上問題がある場合があります。 この理由を解説いたします。...
  6. ワードプレスのインジェクション攻撃って何?
    ワードプレスがハッキングされる手法には様々なものがありますが、最も多いのがインジェクション攻撃と呼ばれる攻撃です。このインジェクション攻撃について解説いたします。...