ワードプレスのマルウェアの一種で、多数の投稿に不正なJAVASCRIPTコード(不正なリダイレクト等の動作を起こします)を埋め込むタイプに感染してしまった場合にこのコードを取り除く方法を解説いたします。
ワードプレスの多数の投稿に不正なJAVASCRIPTコード
このタイプのマルウェアはバックドア経由で、データベースの投稿のデータに連続して大量の不正なJAVASCRIPTコードを埋め込みます。
例として下記のようなJAVASCRIPTコードを埋め込み、ユーザーを不正なサイトに飛ばしてしまったり、Cookieにアクセス時間を記録して稀にしか動作しないようにして発覚を遅らせることもあります。
<!--codes_iframe-->
<script type="text/javascript"> function getCookie(e
不正なコードが続く
,document.write('<script src="'+src+'"><\/script>')} </script>
<!--/codes_iframe-->
その量が膨大であることから、手作業で削除するのが困難なタイプのマルウェアとなります。
こちらの膨大なマルウェアを機械的に駆除する方法を見ていきましょう。(必ずデータベースのバックアップを行ってからお試しください)
駆除方法 プラグインで一括置換
Search Regex プラグインは、ワードプレスの投稿のデータに含まれる様々な文字列を検索して一括で置き換えてくれるプラグインです。
このプラグインをインストール有効化したら、ワードプレスの管理画面のツール>Search Regex 画面から、検索文字列に置換したいマルウェアの文字列、置換文字列は半角のスペース一つにします。
この後すべて置換ボタンを押すと一括置換が完了します。
不正な埋め込みのJAVASCRIPTを駆除したら?
駆除に成功しても、この文字列を埋め込むことが可能となった原因を取り除く必要がございます。
例としまして下記のような原因でハッカーにより改ざんされたと考えられます。
1 ワードプレスの管理者権限の奪取→管理者のパスワードを変更します
2 プラグイン等の脆弱性→ワードプレスとプラグインのアップデートを行い、脆弱性検査を行います
3 バックドア→不正にデータベースを書き換えるプログラムがサイトに埋め込まれているかもしれません。マルウェア検査を行います。
また、セキュリティープラグイン導入なども行われることをお勧めいたします。
セキュリティーの専門家が考えるワードプレスのセキュリティープラグインでお勧めの機能
WordPress ワードプレスのマルウェア駆除・セキュリティー対策・安全な更新のご依頼・ご相談はワードプレスドクターまでお気軽にお送りください
