WPCode – Insert Headers and Footers を介してデータベースに埋め込まれるマルウェアの検出が増えています。このマルウェアについて詳細に解説いたします。

WPCode – Insert Headers and Footersプラグインとは?

WPCodeプラグインは、ヘッダーやフッターに任意のHTML,JAVASCRIPTコードを埋め込めるプラグインです。サイトのデザインのCSSを追加したり、Googleのアクセス解析タグを埋め込むのによく使用されます。

ただ、このプラグインはPHPプログラムも埋め込むことができます。一般的に、データベースにPHPプログラムを埋め込み実行することはできませんが、WPCodeプラグインが導入されているサイトでは、多くのマルウェアスキャナーが検査しないデータベースの中にハッカーがマルウェアを埋め込むことが可能となります。

WPCodeに埋め込まれるマルウェア

WPCodeプラグインには脆弱性はなく、ハッカーはまず他の脆弱性を突破したうえで、サイトの管理者権限を奪取し、WPCodeプラグインをサイトに勝手に追加し、WPCodeプラグインのスニペットとしてマルウェアをサイトに埋め込み、かつWPCodeプラグインがサイトにインストールされていないかのようにWPCode関連のUIを管理画面で隠すCSSもそのスニペットに埋め込みます。

不正なコードが埋め込まれるデータベースのテーブル wp_options、wp_postmeta、wp_postテーブル等

オプションテーブルのキー wpcode_snippets

不正に埋め込まれるWPCODEプラグインが導入されている事自体を秘匿する為のCSSコードの例

function fix_style()
    {
        echo '<style>';
        echo '#toplevel_page_wpcode { display: none; }';
        echo '#wp-admin-bar-wpcode-admin-bar-info { display: none; }';
        echo '#wpcode-notice-global-review_request { display: none; }';
        echo '</style>';
    }

このコードは、ハッカーが不正に導入したWpcodeの管理画面のメニューやプラグイン一覧の表示を消してしまいます。
この為、ワードプレスの管理者は、サイトにログインしてもWPCODEが勝手に導入されていても気づかない形になってしまいます。

WPCODEに埋め込まれるマルウェア

また上記に加えWPCODEのスニペットに、不正なユーザーを生成したり、他のサイトから不正なコードを取得してサーバーに書き出したり、サイトを別のサイトにリダイレクトするJAVASCRIPTコード、勝手にサイトのコンテンツにリンクを書き込むなどの機能を有するマルウェアコードも含まれます。

WPCodeに埋め込まれるマルウェアへの対応

このような不正なスニペットは、【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除] で検出可能です。
不正なWPCodeのスニペットが検出されたらその行ごと消去します。
(不正なWPCodeのスニペットがよく埋め込まれるwp-optionテーブルはワードプレスの様々な設定データが書き込まれているテーブルですので、データベースの行を消す場合は慎重を期してデータベースのバックアップをお取りいただくことをお勧めいたします。)

また、WPCodeが勝手にインストールされているかは、FTPソフトウェアでサーバーに接続の上、wp-content/plugins/フォルダの中にinsert-headers-and-footersというフォルダがあるかどうかで調べることも可能です。

また、WPcodeの不正なコードがデータベースに存在するかは、phpmyadminやadminerなどのデータベース接続ソフトを使い、データベースを下記のようなクエリ(WPCODEを管理画面から隠してしまうスタイルシートです)で検索すると調べることができます。

#toplevel_page_wpcode { display: none

WPドクターでマルウェア駆除の代行も承っております。お気軽にご相談等お送りください。

WordPress ワードプレスのマルウェア駆除のご相談・ご依頼はWPドクターまでお気軽にお送りください