ワードプレスサイトの下層ページや管理画面が403Forbiddenエラーになる場合マルウェアに感染している可能性があります
突然ワードプレスサイトが403Forbiddenエラーに
403エラーは、サーバーがサイトへのアクセスを禁止しているという意味になります。
この原因としては、HTACCESSの記載ミスやパーミッションの問題であることも多いものの、マルウェア感染が原因となっている場合がございます。
・マルウェアがHTACCESSファイルを改ざんして書き換えることによってワードプレスの管理画面や管理画面内の特定のページにアクセスするのを禁止してマルウェアの発見や駆除をできないようにしている場合があります
・マルウェアが手当たり次第に上記不正なHTACCESSファイルをサーバー内に設置することで下層ページや下層フォルダに設置されているワードプレスサイト全体が403エラーになる場合もあります
HTACCESSファイルの改ざん事例
改ざんされたHTACCESSファイルの例としまして下記のような改ざんコードが埋め込まれている場合があります。
<FilesMatch ".*\.(py|exe|phtml|php|PHP|~複数の拡張子の羅列~|phP8|PhP8|suspected)$"> Order Allow,Deny Deny from all </FilesMatch> <FilesMatch "^(index.php|wp-login.php|~複数のファイル名の羅列~wp-crom.php|wp-confiq.php)$"> Order Allow,Deny Allow from all </FilesMatch>
FilesMatch “.*\.(py|exe|phtml|ph ~ Deny from all
の部分は py,exe,phtml,php 等の拡張子のあるファイルにはアクセスできないようにするという意味です。
この記載が403エラーを引き起こしています。
FilesMatch “^(index.php|wp-login.php|wp- ~ Allow from all
この行はマルウェアがハッカーにとって都合のいい(バックドア等)のファイルだけのアクセスは許可しているという事になります。
このような改ざんは質が低いコードになっている場合もあり、手当たり次第にサーバー内に生成されることもあります。
この為、サーバーのサイト全体が403エラーになったり、真っ白な画面になってサイトの表示自体ができなくなることもございます。
不正な改ざんHTACCESSファイルへの対処方法
このような改ざんHTACCESSファイルがサーバーに設置されてしまった場合は、本来不要な個所にあるHTACCESSはHTACCESSファイル自体を消し、ワードプレスが正規に設置したHTACCESSに不正なコードが含まれる場合はその不正なコード部分だけを取り除くことが必要となります。
HTACCESSファイルはマルウェアによって手当たり次第に深い階層のフォルダにも設置されてしまう場合があり、すべて発見するのが困難となる場合もあります。
こういった場合はマルウェア検査プラグインで網羅的に検査いただくこともお勧めいたします。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
しかしHTACCESSの改ざんはコードのパターンが多岐にわたるため、上記プラグイン等を使用してもすべて検出できない場合もございます。
完全に取り除けなかったり、改ざんが残っている可能性がある場合は専門家に相談することもご検討ください。
WordPressのマルウェア駆除・セキュリティー対策のご依頼・ご相談はワードプレスの改ざんの駆除の専門家集団「WP(ワードプレス)ドクター」にお気軽にお送りください
