ハッカーはワードプレスサイトへの侵入に成功すると、不正な動作を行うプラグインをインストールしてくる場合があります(wp-cleansong、wp-cache、optimize-core、system.php等)。こういった不正なプラグインをインストールされたときの対処方法についてご紹介いたします。
ハッカーが導入する不正なプラグイン
ハッカーはワードプレスサイトに侵入成功すると、その後のサーバー上での改ざんやスパムメール送信等の様々な不正な活動を容易にするためのバックドアと呼ばれる種類の不正なプログラムをサーバーに設置することがあります。
このバックドアは、ワードプレス上で動作するプラグインの形をとることがあり、知らず知らずのうちに設置され有効化されている場合があります。
正規のPHP実行プラグイン+不正なコードをデータベースに書き込むタイプの攻撃もあります。
参考 WPCode – Insert Headers and Footers プラグインを介してデータベースに埋め込まれるマルウェア
不正なプラグインかどうかの見分け方
不正なプラグインは無害であることを装うために、セキュリティープラグインや、アップデート用プラグインなどに見せかけている場合がございます。
ワードプレスの管理画面のプラグイン一覧に怪しいプラグインがある場合、下記のような方法である程度不正なプラグインかをある程度特定することが出来ます。
1 プラグインがワードプレスの公式サイトに存在しない
ワードプレスのプラグインは公式サイトに下記のような法則でリスティングされています。
https://wordpress.org/plugins/スラグ/
※スラグとはwp-content/plugins内にあるプラグインのフォルダ名となります。
公式のプラグインとしてリスティングされていないプラグインでインストールした覚えがない場合ハッカーがインストールした不正なプラグインの可能性があります。
2 コードが難読化されている
ハッカーは不正なコードの本来の機能を隠すためにコードを読みにくくする処理(難読化)を施すことが多いです。
FTPソフトウェア等でそのプラグインのコードをダウンロードして開くと下記のような難読化されたコードが含まれる場合ハッカーがインストールした不正なプラグインの可能性があります。
3 マルウェア検査で不正なコード判定されるファイルがプラグインフォルダ内にある
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
等のマルウェア検査プラグインでマルウェア判定されるファイルがある場合ハッカーがインストールした不正なプラグインの可能性がたかくなります。
不正なプラグインの対処方法
ハッカーが導入した不正なプラグインであることが確実な場合は、そのプラグインを停止し、削除します。
またハッカーが不正なプラグインを導入できたという事は、管理画面にログインできてしまっているという事になりますので、その他のセキュリティー対策のご対応も必要になるかと存じます。
・ハッカーが他にも不正なファイルを設置している可能性があるためサーバー全体のマルウェア検査駆除
・不正なユーザーが登録されていないかの検査
・ハッカーの侵入を許した脆弱性対策
参考 無料でできるワードプレスのセキュリティー対策5選
上記のような作業はすべて、経験豊かな専門家である、当社(WPドクター)に作業代行のご依頼いただくことも可能です。
お気軽にご依頼・ご相談お送りください。
WordPress ワードプレスのマルウェア駆除・セキュリティー対策のご依頼ご相談はWPドクターまでお気軽にお送りください
