ワードプレスのマルウェアや改ざんの多くは、プログラムファイルに対して行われデータベースが改ざんを受けることはごく稀です。ただ、非常に普及しているプラグインにデータベースが改ざんされる脆弱性が見つかったときは、データベースが改ざんされる(SQLインジェクションと言われます)ハッキングが流行することがあります。
ワードプレスのデータベースはどんなふうに改ざん・マルウェアが埋め込まれる?
ワードプレスのファイルには、マルウェアや改ざんがないのに、サイトがリダイレクトされて別のサイトに飛ばされる、リンクが書き換えられる等の症状が修正されない場合、データベースのデータの改ざんが疑われます。
ワードプレスのデータベースに書き込まれるマルウェアは、JAVASCRIPTというブラウザーで実行されるスクリプトである場合がほとんどで、内容もいくつかの特徴がある場合が多いです。
データベースへの改ざんは、脆弱性のあるプラグインの設定として書き込まれて、ページ読み込みのたびに実行されてしまったり、ワードプレスの投稿に埋め込まれて、サイトを見ているユーザーを別のサイトに強制的にリダイレクトして飛ばしてしまうなどの不正な動作をするものがほとんどです。
1 String.fromCharCode()
このJSの処理は、ハッカーが隠したいプログラムを難読化して実行するのにマルウェアでは非常によく使われます。
2 <script>
このタグは、JAVASCRIPTの埋め込みタグです。ワードプレスは、一般的には投稿や固定ページでJAVASCRIPTは使いませんのでこのタグがあるという事はSQLインジェクションによって何らかの不正なプログラムが埋め込まれている可能性が疑われます。
3 _trgfy80yth
_ランダムな文字列 で始まるJAVASCRIPTプログラムが多数の投稿に埋め込まれている場合もよく見られます。こちらもサイトを別のサイトに飛ばしてしまうSEOハックという種類の改ざんであることがほとんどです。
データベースの改ざんの探し方・削除の仕方
上記よくある改ざんのパターンを Search Regex というプラグインで検索や置き換えすることで無害化することが可能です。
また、ワードプレスドクターが作った【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除] で、より多くのデータベース改ざんパターンを検索駆除することが可能でございます。
WordPress ワードプレスのマルウェアの駆除・セキュリティー対策を代行いたします。お気軽にご依頼・ご相談お送りください。
