ワードプレスサイトに含まれるいくつかのindex.phpファイルに下記のようなコードがある場合マルウェア感染していますので要注意です。
index.phpを改ざんし、ワードプレスサイトのどのページが読み込まれても実施されるマルウェア
index.phpファイルに @include “\057v\151r\164u\141l\0571 とinclude文と上下に /*963c2*/ 等のコメントで挟まれている記載がある場合、そのコードはマルウェア本体を読み込むためのコードとなります。
このコードは難読化されており、難読化解除すると下記のような文字列となります。
@(include "/virtual/中略/.24b5f368.ico");
このコードは.24b5f368.icoというマルウェア本体を読み込み、サイトを別のサイトにリダイレクトするなどの不正な動作をサイトに実施させます。
上下に含まれる /*963c2*/ というランダムな文字列のコメントは、そのファイルにすでにマルウェアを埋め込んだかをハッカーが確認するためのものです。
対処方法
こういったファイルがサイトにあった場合はすぐに、@(include “/virtual/ を含む行と、上下のランダムな文字列のコメントを削除し、index.phpを再アップロードしましょう。
さらに、
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除] にてサイト全体のファイルとデータベースのマルウェア検査、を実施いただくこともお勧めいたします。
ユーザーのパスワード等も変更しておきましょう。
WordPress ドクターワードプレスのマルウェア駆除・セキュリティー対策のご依頼ご相談はWPドクターまでお気軽にご相談ご依頼ください
