ワードプレスの全投稿に不正なJAVASCRIPTが埋め込まれる事例が増えております。こちらのマルウェアの対処方法をご紹介いたします。
ワードプレスの投稿に不正なJAVASCRIPTが埋め込まれサイトにアクセスすると他のサイトに飛ぶなどの不正な動作を引き起こす事例
JAVASCRIPTとはページを動的に書き換えたり、背後で様々な通信をしたり、レイアウトをアニメーションさせるなどの様々な機能をサイト上で実現するブラウザー上で実行されるスクリプト言語です。
JAVASCRIPTはブラウザー上で実行される為、不正なJAVASCRIPTがサイトに埋め込まれたとしても、サーバーのファイルを直接書き換えたり、ユーザーのコンピューターに直接何らかのファイルを設置したりはできませんが、ユーザーを危険なウェブサイトに誘導されたり、他のサイトへのSEOリンクを勝手にサイトに挿入されるなどの被害を受ける形になります。
※ユーザーが別のサイトで不正なソフトウェアをインストールしてしまったり、検索エンジンに不正なコンテンツとしてブラックリストされると検索結果に出なくなるなどの重大な被害につながることもございます。
不正なJAVASCRIPTがサイトの全投稿に埋め込まれる事例
ハッカーがワードプレスサイトのプラグインやユーザーのパスワードの弱さなどの脆弱性を利用してサイトの管理者権限を奪取してしまうと、多くの場合、データベースも書き換えることが出来るようになります。
ハッカーは、サイトのデータベースの投稿のデータを一気に書き換えるプログラムを使い、時には数千件に及ぶ投稿に不正なJAVASCRIPTを書き込みます。
不正なJAVASCRIPTは多くの場合、投稿のデータの最下部に、上図のように難読化されて書き込まれます。
参考
ワードプレスのマルウェアの9割以上に行われている難読化処理とは?
不正なJAVASCRIPTが投稿に埋め込また場合の対処方法
不正なJAVASCRIPTが投稿に埋め込まれると、PCのウィルス検出ソフトがサイトへのアクセスを遮断したり、検索結果にマルウェアに検出している旨表示されたり、サイトを利用するユーザーから別のサイトに飛んだり不正なソフトウェアをダウンロードさせらたなどのクレームが入ることで発覚するケースが多いです。
不正なJSの検出
このような不正なJSの投稿への埋め込みは下記のようなオンラインサービスで検出できることがあります。このようなサイトで投稿やトップページのURLでウィルスチェックを行ってみます。
またより強力に内部からマルウェアを検出するにはマルウェア検出プラグインをご利用いただくことも可能です。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
数千件の投稿に不正なJAVASCRIPTが埋め込まれたら?
数千件の投稿に不正なJAVASCRIPTを埋め込まれてしまった場合、手作業で一つ一つ駆除するのは困難です。
この場合の駆除方法としましては下記のような方法を取る形になるかと存じます。
・汚染前のデータベースにバックアップからロールバックする
・データベース上で網羅的に不正なJAVASCRIPTの文字列を無効化するようなSQL文(データベース処理の命令文です)を直接実行する
※データ形式によってはサイトのデータが壊れることがあるためこの方法はあまりお勧めできません
・Search Regex等の一括データベース書き換えプラグインを利用する
・Search Replace DB等のデータベース置換プログラムを使用する
また不正なJAVASCRIPTを投稿に埋め込まれたという事はすでにハッカーがデータベースを書き換えるサーバー上の権限を不正に持っているという事になりますので、ハッカーの侵入口であるバックドアというマルウェアや脆弱性もふさぐ必要もございます。
こういった不正な数千件のJAVASCRIPTの駆除やバックドア等のマルウェアの網羅的な駆除や脆弱性の解消は、専門家にご相談いただくこともお勧めいたします。
