ワードプレスのトップディレクトリにある怪しいファイル(マルウェアファイル)の見分け方について解説いたします。
マルウェア感染サイトと非感染サイトのトップディレクトリのファイル構成の比較
下図はマルウェア感染のないサイトのワードプレスのトップディレクトリのファイル構成となります。
この構成中googlee****.html ファイルはGoogleのアクセス解析用の認証ファイル、.user.iniはサーバーの設定ファイルですね。これ以外のファイルはワードプレスに標準的に含まれるファイルになります。
下図はあるマルウェア感染サイトで当社にマルウェア駆除をご依頼いただいたクライアント様のサイトのファイル構成となります。
赤線で囲った部分は、本来ワードプレスに存在しないファイルであり、いい加減な名称のファイル名がつけられていることが分かります。
このファイルの一つをテキストエディターで開くと、下記のように難読化処理が施され、eval関数を含む典型的なマルウェアファイルであることが分かります。
ワードプレスのトップディレクトリに本来設置されているはずのない不正なファイルが存在していたら?
ワードプレスのトップディレクトリに標準的に含まれるファイルは下記の通りとなっています。
wp-admin (フォルダ)
wp-content (フォルダ)
wp-includes (フォルダ)
.htaccess このファイルはワードプレスのパーマリンク生成時に作成されるサーバーの設定ファイルです
index.php
license.txt
readme.html
wp-activate.php
wp-blog-header.php
wp-comments-post.php
wp-config.php
wp-config-sample.php
wp-cron.php
wp-links-opml.php
wp-load.php
wp-login.php
wp-mail.php
wp-settings.php
wp-signup.php
wp-trackback.php
xmlrpc.php
これ以外のファイルで、はGoogleのアクセス解析用の認証ファイル、.user.ini等のファイル以外のPHPファイルが存在し、かつファイルの名称が意味のない文字列である場合、マルウェアであることを疑ってよいかと思います。
ファイルをテキストエディターで開き、難読化処理されている場合はよりマルウェア感染の疑いが強くなります。
この場合、一度マルウェアスキャンをサーバー上の全サイトに対して行われることをお勧めいたします。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
WordPress ワードプレスのマルウェア駆除・セキュリティー対策のご依頼ご相談はWPドクターまでお気軽にお送りください
