ワードプレスでサーバー上の公開フォルダ以外の場所にwp-blog-header.php、wp-cron.php、.htaccess が複数発見されたら要注意です。このファイルは自動増殖するマルウェアの可能性が高いです。
ワードプレスでサーバー上の公開フォルダ以外の場所にワードプレスのファイルがある場合
ワードプレスの公開フォルダ(wwwや、public_html)以外の場所、例えば htpasswd、script、xserver_php、mail や その上のフォルダに.phpやHTACCESSファイルが多数設置されている場合マルウェアに感染していて、サーバー全体にマルウェア被害が広がっている可能性があります。
例としまして
.htaccess
wp-blog-header.php
wp-cron.php
やmoon.phpやランダムな文字列のPHPファイルなどが設置されていないかをご確認ください。
FTPソフトウェア等でこちらのファイルをダウンロードいただき、テキストエディターで開き、下記のような難読処理をされている場合は、マルウェアが自動で感染をあらゆるフォルダに広げている物となります。
※PHPファイルはサーバー上でしか動作しませんのでテキストエディターでマルウェアを開いてもPCに感染することはありません
なぜサーバー所のあらゆるフォルダにマルウェアが生成されるのか?
この理由は、サーバー上のどこかにマルウェアを自動でサーバー上のあらゆるフォルダに自動で書き込むバックドアと呼ばれる種類のマルウェアが設置されているからでございます。
PHPファイルのマルウェアはアクセスしないと効力を発揮できないため、公開フォルダ外にあっても意味を成しませんが、バックドアの品質が低い為、ワードプレスがあるフォルダだけでなく、非公開フォルダにまでマルウェアを大量に書き込むことがあります。
※ただ、不正なHTACCESSファイルが公開フォルダ外に書き込まれた場合、下の階層まで悪影響を与え、ワードプレスにログインできなくなったり、管理画面の一部機能が使えなくなるなど下層フォルダにまで影響を与えることがあります。
公開フォルダ外に書き込まれたマルウェアへの対処方法
サーバーの公開フォルダ外に書き込まれたマルウェアは、本来その場所にないファイルであることが確実な場合そのまま削除という形で駆除いただいて問題ございません。
ただ、ワードプレスのあるフォルダのどこかにもバックドア等のマルウェアが感染していることが考えられるため、ワードプレス全体のマルウェア検査と駆除も必要となります。(ワードプレスに感染しているマルウェアの本体ファイルを削除いただきませんと再感染します)
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
また、最初にハッカーにサイトの改ざんを許した脆弱性もつぶす必要がございます。
マルウェアを放置されますと、検索結果から除外されたり、サイトにアクセスできなくなったり、ユーザーが別の不正サイトにリダイレクトされてウィルス感染被害を受けたり、と被害が広がることがございます。
手に負えないと思ったら早めに専門家にご相談いただくこともご検討ください。
WordPress ワードプレスのマルウェア駆除のご依頼・ご相談はマルウェア駆除の専門家集団ーWPドクターまでお気軽にお送りください
