ワードプレスが別のサイトにリダイレクトされたり、管理画面の一部機能が使用できなくなったりする場合、マルウェアに感染していることがございます。
この場合、マルウェアを駆除したと思っても、再度同じような症状になってしまう再感染がたびたび起こる場合サイトのどこかにバックドアと呼ばれる悪意のあるプログラムが残っていることもございます。
バックドアとは?
バックドアとは、サイトに不正に埋め込まれた、ハッカーがサイトの改ざんを行う起点となるプログラムの事です。
ハッカーはこのファイルにインターネットを介してアクセスしてサイトの改ざんを何度でも行うことができます。
バックドアは、サイトの深い部分に埋め込まれていたり、コードが難読化されていたり、icoファイルなどの別のファイルに隠されていたりして探すのは難しいことが多いです。
ワードプレスの隠れたマルウェア(改ざん)やバックドアを見つけ出す方法
最も簡単に隠れたマルウェア(改ざんやバックドア、ウィルスも含みます)を探し出す方法は、マルウェアスキャナープラグインを使う方法です。
2022年現在、3万サイト以上のマルウェアスキャン・駆除に利用いただいているワードプレスドクターのマルウェアスキャナープラグインでサイトをスキャンしていただくことをお勧めいたします。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
ワードプレスのマルウェアが感染しやすいファイル
また、ワードプレスのバックドアやマルウェアが非常に感染しやすいファイルというものがあります。
こちらを目視検査で調査してみることもお勧めいたします。
サイトに誰かが訪れたときに必ず実行されるファイルへの感染
ワードプレスには、サイトにアクセスがあるたびに実行されるファイルがございます。こちらにバックドアや再感染のための不正なコードを埋め込むことで自動でマルウェアが復元されるようにハッカーが不正コードを仕込んでいることがあります。
wp-config.php
index.php
テーマファイルに含まれる
index.php
header.php
footer.php
functions.php
single.php
page.php
ワードプレスの一般的なファイルに偽装したマルウェア
ワードプレスに含まれている一般的なプログラム名にそっくりな名前で不正なコードが設置されている場合もございます。
wp-signups.php
wp-plain.php
wp-conflg.php
xmIrpc.php
setup-config.php
wp-includes.php
等
ランダムな名称のPHPファイル
ハッカーが埋め込むマルウェアのファイル名はランダムな無意味な文字列になっていることも多いです。こういったファイルがワードプレスのコアファイルに含まれる場合はマルウェアであると疑ってよおいかと存じます。
1dyrU7.php
hU67jl.php
等
HTACCESSファイル
HTACCESSファイルは、ワードプレスのインストールされいているディレクトリの最上部にある、パーマリンクの設定などが書き込まれる設定ファイルです。
このファイルが改ざんされて管理画面の多くの機能が使えなくされることが非常に多いです。
参考
ワードプレスで一瞬で再度改ざんされるHTACCESSファイルとIndex.phpファイル
WordPress ワードプレスのマルウェア検査駆除をプロフェッショナルが代行いたします。お気軽にワードプレスドクターにご依頼・ご相談お送りいただけましたら幸いです。
