一般的なコンピューターウィルスと違いワードプレスに感染するマルウェアはワードプレスのコアファイルの正規のファイルを書き換えて寄生している場合が多くあります。この理由と対処方法について解説いたします。
ワードプレスの正規のファイルに寄生するマルウェア
このタイプのマルウェアは、下記のようなワードプレスの正規ファイルを改ざんして、埋め込まれます。
index.php
/wp-includes/query.php
/wp-includes/pluggable.php
/wp-includes/l10n.php
等
上記の正規ファイルに寄生しているマルウェアのコード例をいくつか見てみます。
寄生ファイル名 /wp-includes/pluggable.php
こちらのマルウェアは昨今よく見られる$wp_update_file= でマルウェアの本体を読み込んで、@file_put_contents(でマルウェアをサーバー内に拡散や保存する機能を持っています。
寄生ファイル名 /wp-includes/blocks/media-text.php
こちらのマルウェアは、ハッカーが送り込んだ不正なコードを含むクッキーのデータを処理して任意のコードをサーバー上で実行してしまうバックドアと呼ばれるものとなります。
なぜマルウェアはワードプレスの正規ファイルに寄生するのか?
この理由は、ワードプレスのページが読み込まれるたびに、これらのファイルが必ず実行されるからです。
ワードプレスでページが表示されるたびに必ず実行されるファイルにマルウェアを寄生させるとハッカーにとっては、サイトのページが表示されるたびに自動で感染を広げたり、自動でマルウェアを再感染させることができるようになったり、不正なコードを送信してサーバーに実行させるのが特定ファイルに狙いを定める必要がなくなり容易になるなどのメリットがあります。
数年前までは、index.phpやwp-config.phpが主に寄生されるファイルの対象でしたが、昨今では、ワードプレスのコアファイルで必ず実行されるその他の様々な多様なファイルにマルウェアが寄生するようになってきました。
ワードプレスのコアファイルに寄生したマルウェアの発見と除去
ワードプレスのコアファイルは数千のプログラムファイルから成り立っており、一つ一つのファイルを開いてマルウェアを発見するのは容易ではありません。
マルウェアを網羅的に検査するマルウェア検査プラグインをご利用いただくことをお勧めいたします。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
また、正規ファイルに寄生しているマルウェアを除去する際は、マルウェアの部分だけを慎重に除去する必要がございます。もし正規ファイルを丸ごと消してしまったり、正規ファイルの重要なコードを消してしまったりするとサイトが表示不全になるなどの不具合を引き起こしてしまいます。
除去するマルウェアの範囲が分からない場合は同じバージョンのワードプレスのコアファイルのデータをダウンロードしてFTPソフトウェアなどでマルウェアが感染していない正規ファイルと置き換えてしまうのも一つの手となります。
また、手に負えない場合は早めに専門家にご相談いただくこともお勧めいたします。
WordPress ワードプレスの正規ファイルに寄生したマルウェアやサーバー全体に広がったマルウェアの駆除を専門家が代行いたします。お気軽にご依頼・ご相談お送りください
