ワードプレスでPHPコードを実行できるプラグインを不正にインストールし、データベースにマルウェアを埋め込むタイプの新しいマルウェアが報告されています。
ワードプレスの管理画面からPHPコードを任意の固定ページや投稿で実行できるプラグインの不正インストール
Sucuri によりますと、ワードプレスの管理者権限の総当たり攻撃による奪取、もしくは脆弱性によって侵入したハッカーが、ワードプレスの管理画面からPHPコードを実行できるプラグインを勝手にインストールし、不正なコードをデータベースに埋め込む事例が増えているとのことです。
Eval PHPプラグインの仕組み
ワードプレスの管理画面からPHPコードを実行できるプラグインは複数存在しています。
これらのプラグインは、ワードプレスの任意のページにPHPコードを埋め込んで実行するためのもので、それ自体に何らかの悪意あるプログラムが含まれているわけでもなく、公式サイトからも問題なく配信されているものです。
しかし、これらのプラグインはワードプレスのデータベースにPHPコードを保存し実行するものですので、ハッカーがサイトに既に侵入成功している場合は、悪意あるプログラムをデータベースに埋め込んで実行することが可能となってしまいます。
ワードプレスのデータベースはこれまであまりマルウェア感染が報告されていない部分ですので、マルウェア検査しないプラグイン等も多いため、そのすきを狙った攻撃方法かと存じます。
Eval PHPプラグイン経由のマルウェアの対処方法
このタイプのマルウェアの対処方法をいくつかご紹介いたします。
1 身に覚えのないEVAL PHP系のプラグインがインストールされていないか確認いただき、ある場合は停止削除します。
2 データベースのマルウェアも検査できるタイプのプラグインでマルウェア検査・駆除します。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
3 もしこのタイプのマルウェアに感染していたことが明らかな場合は、脆弱性を利用されたり、管理者権限を奪取され、すでにハッカーの侵入を許しているという事になります。
この為、上記プラグイン等によるマルウェア検査・駆除に加え、下記のような対策が必要となります。
1 不正なユーザーの確認と削除
2 管理者権限のユーザーのパスワードの変更
3 プラグインやワードプレスのアップデート
WordPress ワードプレスのマルウェア駆除・セキュリティー対策を経験豊かな専門家が代行い達します。お気軽にご依頼ご相談お送りください
