ワードプレスが改ざんされ、マルウェアが見つからない場合ハッカーがマルウェアをどのように隠蔽しているのかについて解説いたします。
ワードプレスの改ざんはどこに隠されているのか?
ハッカーはマルウェアをできるだけ長期間効果を及ぼすようにしたいため、一見してわからない場所に隠そうとします。
この場所は多岐にわたり、ワードプレスには平均して1万以上のプログラムファイル等が含まれますので一つ一つを目視で探すのは難しいです。
ただ、別のサイトにユーザーを飛ばすような改ざん(リダイレクトハック)の場合は、ワードプレスが表示されたときに全頁で実行されるファイルに改ざんを書き込む場合が多いです。
このファイルは下記のようなファイルとなります。
index.php
wp-config.php
テーマのindex.php
テーマのheader.php
テーマのfunctions.php
テーマのfooter.php
テーマのsingle.php post.php
include文で書き込まれたマルウェア本体を探す
index.php、wp-config.phpに下記のような改ざんがある場合、このコードはマルウェア本体を別の場所から読み込んでいます。
このコードは難読化されており、見ただけではどこを参照しているのかがわかりませんが、難読化解除サイトで難読化を解除すると下記のような文字列が現れます。
@include("/var/www/wp-admin/aaa.jpg");
上記の場合、サーバーの/var/www/wp-admin/というフォルダのaaa.jpgというファイルがマルウェア本体という事になります。
その他怪しい名称のマルウェアファイル
そのほか、設置場所は多岐にわたりますが、マルウェアとして疑われる怪しいファイルの名称としてワードプレスのもともと含まれているファイル名を少し変えたファイル名になっているマルウェアの事例がよくございます。
wp-login.php → wp-l0gin.pjp
またランダムな意味のない文字列のファイル(例 htyjdur6.php)もマルウェアである場合が多いです。
ワードプレスドクターが開発したマルウェア検出検査プラグインでもサイトの隠された改ざんを一括で簡単にスキャンすることが可能です。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
