昨今非常に流行っているJapanese SEO Spamといわれる日本語の偽の商品サイトをワードプレスに埋め込むマルウェアについて解説いたします。
検索結果に身に覚えのない日本語商品サイト
あなたのワードプレスサイトのドメインで、検索結果に表れるページにアップロードした覚えのない日本語のECサイトが大量に出てくる場合サイトを改ざんされてしまっている可能性がございます。
この偽の日本語商品ページはJapanese SEO Spamと呼ばれ、現在非常に多いタイプのマルウェアとなっています。
なぜどのようにサイトが改ざんされている?
ワードプレスサイトが改ざんされて上記のようなページを埋め込まれてしまう原因の6割が、長期間アップデートされていない古いワードプレスのプラグインの脆弱性です。
原因の2割は、管理者のパスワードが脆弱で管理者権限を乗っ取られることによって改ざんされてしまう事、になります。
※ワードプレスのプラグインの脆弱性は
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
で調べていただくことができます。
Japanese SEO Spamは多くの場合、下記のようなコードでサイトに埋め込まれています。
@include(/var/www/************/.*****.log)
※**の部分はサーバー上のパスを示します
拡張子は.logであったり、.mo,.jpg,.gif等多岐にわたりますが、このファイルに日本語商品の偽のページを出力して検索エンジンに登録している不正なコードの本体が含まれます。
ハッカーはこの偽のページを通じてユーザーのクレジットカード情報を盗んだり、不正なサイトにアクセスを誘導したりします。
Japanese SEO Spamに感染したら?
Japanese SEO Spamに感染し、検索結果に表れるページにアップロードした覚えのない日本語のECサイトが大量に出てくるなどの症状が現れた場合、この埋め込まれたマルウェアを取り除く必要があります。
前述した
@include(/var/www/************/.*****.log)
のような読み込みコードと読み込んでいる不正なコードの本体を削除します。
読み込みコードは様々な場所にある可能性がありますが、よく埋め込まれているのはテーマやワードプレスのインストールディレクトリにあるindex.phpやwp-config.phpです。
ワードプレスサイトには合計1万ファイルものプログラムが一般的には含まれますので目視で探し出すのは非常に困難になる場合がございます。
読み込み先のマルウェアコードの本体は、上記例では記載されいているサーバー上のパス/var/www/************/.*****.log に存在します。
(難読化されている場合はこちらのサイトで難読化解除することができます)
このマルウェア本体も削除します。
ただ、手作業ではマルウェアを駆除しきるのは非常に難しい場合が多いため、マルウェア検査プラグインをご利用いただいたり、専門家にご相談いただくこともお勧めいたします。
ワードプレスの脆弱性対策
マルウェアを駆除しきったら、次にサイトの改ざんを許した脆弱性をふさぐ必要がございます。(そうしないと同じ脆弱性を利用されてまた同じマルウェアが埋め込まれてしまう可能性があります)
最も基本的なセキュリティー対策は下の記事を参考にしていただけましたら幸いです。
WordPress ワードプレスのマルウェア駆除、セキュリティー対策を専門家が代行いたします。お気軽にご依頼・ご相談お送りください
