ワードプレスサイトが改ざんされ、サイトの表示は問題なく可能ですが、管理画面にアクセスできなくなるタイプのマルウェアが昨今はやっています。
この事例について、対処方法等を解説いたします。

ワードプレスサイトに大量の改ざんされたHTACCESSが設置

このタイプのマルウェア(改ざん)に感染すると下記のようなHTACCESSファイルを多数のフォルダに設置します。

<FilesMatch ".(py|exe|php)$">
Order allow,deny
Deny from all
</FilesMatch>
<FilesMatch "^(about.php|radio.php|index.php|content.php|lock360.php|admin.php|wp-login.php)$">
Order allow,deny
Allow from all
</FilesMatch>

このHTACCESSファイルは、PHPという拡張子のあるファイルへのアクセスを禁止します。このことにより管理画面の多くの機能が使用不可能になってしまいます。
例えば、管理画面のプラグイン一覧、投稿の編集、投稿の新規作成等、URLが.phpで終わるページ全てがアクセス不能となります。

またabout.php|radio.php|index.php|content.php|lock360.php の部分で、この名称のPHPファイルのみアクセス可能とします。
このファイルがマルウェアの本体もしくは、マルウェアが含まれるファイルとなり、このファイルの多くにはマルウェアが削除された場合にマルウェアを復元する機能や、さらなる改ざんを可能とするようなバックドアが含まれています。

マルウェアを駆除するには?

【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
にて不正な改ざんを受けたHTACCESSファイルを検出、取り除くことが可能です。

wp-config.phpがあるフォルダもしくは、その上のフォルダにあるHTACCESSファイルは、改ざん部分のみを取り除き、そのほかのフォルダにあるHTACCESSファイルは不正に設置されたものである可能性が高いため、マルウェア検出プラグインで検出された場合は削除します。

管理画面にアクセスできない場合は?

管理画面にアクセスできない場合は、wp-config.phpがあるフォルダもしくは、その上のフォルダにあるHTACCESSファイルにいったん下記の記載を行うことで、あなたのIPだけがサイトにアクセスできるようになり、かつ管理画面へのアクセスも可能となることがございます。

order deny,allow
deny from all
allow from あなたのIPアドレス

※あなたのIPアドレス はこちらで調べることが可能です。
※上記記載は、あなたのIP以外の全アクセスをはじきますので、お使いのPC以外のすべてのユーザーがサイトにアクセスできなくなりますのでご注意ください。

上記記載いただいたうえで、ワードプレスのトップディレクトリにあるindex.phpファイルにあるマルウェアなどを手作業で取り除いたうえで管理画面にアクセスし、マルウェア駆除後はHTACCESSファイルを再度ワードプレスに必要な設定が含まれたものに戻します。

WordPress ワードプレスのマルウェアの駆除セキュリティー対策のご相談・ご依頼はWPドクターまでお気軽にお送りください