本来ワードプレスのフォルダのみに存在するwp-blog-header.php、wp-cron.php、.htaccess等のファイルがサーバー上のいたるところに書き込まれていたらマルウェア感染している可能性が高くなります。
wp-blog-header.php、wp-cron.php、.htaccess
本来この3つのファイルは、ワードプレスのファイル群があるフォルダ(public_htmlフォルダなど)の一番上の階層に下記のようなファイルとともに、存在するものです。
wp-admin/フォルダ
wp-content/フォルダ
wp-includes/フォルダ
.htaccess ←
index.php
license.txt
readme.html
wp-activate.php
wp-blog-header.php ←
wp-comments-post.php
wp-config-sample.php
wp-cron.php ←
wp-links-opml.php
wp-load.php
wp-login.php
wp-mail.php
wp-settings.php
wp-signup.php
wp-trackback.php
xmlrpc.php
またこのような方々に書き込まれたPHPファイルを開くと下図のような難読化されたプログラムになっているかと存じます。これはハッカーがあらゆるフォルダに自己増殖するマルウェアファイルを拡散させた結果となります。
なぜ様々なファイルにマルウェアファイルが増殖するのか?
この理由は質の低い自己増殖型のマルウェアがサーバー上の他のサイトへのマルウェア感染を目的とし、あらゆるフォルダにマルウェアファイルを上書きで書き込むからでございます。
その多くは、インターネット上の公開フォルダではないフォルダに設置されますので、アクセスできず、無意味なものですがもしほかのフォルダのどこかにワードプレスが存在すれば、マルウェアをそのワードプレスに感染させることが出来ます。この為ハッカーは手当たり次第にフォルダに上記ファイルを書き込むプログラムをサーバー上で動作させます。
サーバー上のあらゆるフォルダに拡散したマルウェアファイルへの対処方法
サーバーのインターネット公開フォルダ外にある、PHPのマルウェアファイルは消去してしまうのが基本的な対処方法となります。
そのまま削除しても当社経験上ほとんど問題が起こることはありませんが、稀にそのマルウェアファイルを別のマルウェアファイルが読みこんでいる場合があります。
不用意に消してしまうとサイトの表示不全が起こることもありますので、サーバーのファイルのバックアップをお取りいただいた上で、マルウェアであることが確かなファイルのみ削除し、また、下記のようなマルウェア検査駆除プラグインで、その他のワードプレス内のマルウェアの検査駆除も行われることをお勧めいたします。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
また、最初のハッカーの親友を許した脆弱性をふさぐ作業も必要となってまります。
参考
無料でできるワードプレスのセキュリティー対策5選
これらの一連の作業はワードプレスのマルウェア駆除の専門家集団、WPドクターにご依頼いただくことも可能です。
お気軽にご依頼ご相談お送りください。
WordPress ワードプレスのマルウェア駆除・セキュリティー対策のご依頼ご相談はWPドクターまでお気軽にお送りください
