ワードプレスでマルウェアに感染し何度不正なコードを除去してもしばらくすると復活してしまう理由

ワードプレスでマルウェアに感染しサイトが別のサイトに勝手に移動するなどの症状が発生し、何度その不正なコードを除去してもしばらくすると復活してしまう理由について解説いたします。

ワードプレスのマルウェアが何度も復活してしまう事例

再感染が繰り返す事例を当社でマルウェア駆除を代行させていただいたクライアント様の事例からなぜ再感染が繰り返されるのかについて解説いたします。

不正なリダイレクトのコードがすぐに復活してしまう理由

弊社経験上不正なリダイレクトのコード等が除去してもすぐに復活してしまう、最も多い原因が下記の５つとなります。

・不正なコードをサイトに埋め込むマルウェア本体が駆除されておらず、サイトにアクセスするたびに再度不正コードがサイトのヘッダーやindex.phpに埋め込まれている

・不正なユーザーが生成されており、ハッカーがログインして不正なコードを繰り返し埋め込んでいる

・サイトに不正なコードを埋め込むコードがファイルとしてではなく、サーバーのメモリ(プロセス)に常駐・稼働し続けている

・サーバーの中にある他のドメインのマルウェア感染サイトが不正なコードを繰り返し埋め込んでいる

・ハッカーの侵入を許したサイトの脆弱性が解消されていない

再感染が繰り返される場合の対処方法

１　マルウェアを除去し切る

検出率の高いマルウェア検査プラグインのご利用で、再感染元のマルウェア本体が見つかることがございます。
【無料】ワードプレス:マルウェアスキャン＆セキュリティープラグイン [マルウェア・ウィルス検出と駆除]

見つかった場合はマルウェア本体を除去します。

また、サーバーの中に複数のサイトがある場合は、サーバーの中の全サイトに対して、上記プラグインで検査とマルウェア駆除を行われることをお勧めいたします。

２　不正なユーザーを削除する

作った覚えのない管理者ユーザーがワードプレスに存在する場合はそのユーザーを消去、またはパスワードを強力なものに変更し、再度ログインできないようにします。

※既存の管理者ユーザー様のパスワードも一度変更いただくことをお勧めいたします。

３　プロセス常駐型マルウェアの駆除

こちらは特殊なコマンドをサーバーで実行する必要があり、PHPがダウンしてサイトの閲覧が一時的にできなくなったり、サーバーのPHPを再起動する必要が出てくるなど、一般的難易度が高い作業となります。
下記のようなコマンドをサーバー上で実行する形になりますが、何卒その点ご注意いただけましたら幸いです。

ps aux | grep -i php | awk {'print $2'} | xargs kill -9

４　既存の脆弱性をつぶす

ワードプレス本体やプラグインを可能な限りアップデートし、最初にハッカーの侵入を許した脆弱性をつぶします。
プラグインなどの脆弱性は下記で調査いただくことも可能です。

ワードプレス脆弱性データベース

基本的なワードプレスのセキュリティ対策は下記の参考ページを参照ください
無料でできるワードプレスのセキュリティー対策5選

マルウェアの駆除が難しい場合や再感染が繰り返される場合は専門家にご相談いただくことをお勧めいたします

WPドクターでは年間数百サイトに及ぶ、マルウェア駆除を確度の高い方法で駆除させていただいている専門家集団です。
WPドクターでマルウェア駆除を代行させていただいた場合、1か月以内に再感染した場合は、無償で再度マルウェア駆除、その時点からさらに１か月観察期間を設けさせていただく再感染保証もお付けしています。

また多数のマルウェア駆除の経験を活かし、１００万件を超えるマルウェアのファイルを収集し、データベース化、マルウェア駆除のプラグインをリリースしており、検出率が高いと好評をいただいています。

↓よろしければご利用ください。

【無料】ワードプレス:マルウェアスキャン＆セキュリティープラグイン [マルウェア・ウィルス検出と駆除]

WordPress のマルウェア駆除のご依頼・ご相談はWPドクターまでお気軽にお送りください