ワードプレスmu-pluginsフォルダへのマルウェア感染する事例が増えています。この事例について解説いたします。
mu-pluginsフォルダへのマルウェア感染
wp-content/mu-pluginsフォルダは一般的なワードプレスサイトには存在しないものの、必ず実行する強制的に有効化されるプラグインンの設置が可能なフォルダです。
この為、この中に不正なプログラムをハッカーが設置すると、そのプログラムがワードプレスがページを表示するたびに実行されることになります。
WPドクターにマルウェア駆除ご依頼いただくクライアント様のサイトでこのmu-pluginsフォルダに不正なファイルが設置されてしまう事例が増えてきています。
例 下記の画像のような不正なコードが設置されます
このコードは難読化処理されており、難読化解除すると PHP File Manager Freya という単ファイルのサーバー上のファイルを編集したり、削除したりできるバックドアとして利用されるファイルマネージャーソフトウェアであることが分かります。
mu-pluginsフォルダへのマルウェア感染への対処方法
mu-pluginsフォルダに導入されている不正なプログラムはワードプレスの管理画面からは、存在を特定することができない場合が多いです。
FTPソフトウェアでサーバーに接続の上、wp-content/mu-pluginsフォルダがないかどうかを手動で確認し、ある場合はそのフォルダ内のファイルのコードを目視確認する形になります。
もしファイルが難読化されており、いパン的な成形されたプログラムでない場合は、マルウェアが設置されている可能性が高くなります。
また、ワードプレスのファイルを網羅的に検査駆除できるプラグインでも100%ではないものの、このタイプのマルウェアを発見駆除できますのでよろしければご利用ください。
