ハッキング改ざんされたワードプレスサイトでバックドアを見つける方法を解説いたします。

バックドアとは?

バックドアとはその名の通り、ハッカーがサイトを改ざんして様々な不正な行為をサーバー上で行うための裏口のことです。
このプログラムはわずか1行、数十文字でも書くことができますのでワードプレスがハッキングされて改ざんされてしまうと設置されてしまう事が非常に多いプログラムとなります。

一度脆弱性を突破されてバックドアを設置され、バックドアがサーバー上に一つでも残っている場合、再改ざんが繰り返されることになりますので、バックドアは駆除しきる必要がございます。

ただ単純なプログラムでもバックドアは作れてしまうため、ワードプレスの非常に深い階層や、正規ファイルに紛れて設置されていることも多い為、手作業での発見や駆除は困難である場合が多いです。

ワードプレスのバックドアを発見して駆除しきる方法

1 マルウェア検査プラグインを使用する

一番簡単な方法はワードプレス上の全プログラムファイルを自動でスキャンしてくれるプラグインを利用してマルウェア検索駆除を行う事です。

【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]

ただ、バックドアは常に検出から逃れるためにコードが変化します。サイト毎にコードが変わるタイプのバックドアもございます。

上記プラグインの有料バージョンでは日々現れる新しいタイプのマルウェアがデータベースに追加され最新のマルウェアも常に検出できるようになりますので有料バージョンのご利用もお勧めいたします。
(プラグインインストール後のプラグインの管理画面から有料バージョンのご購入が可能です)

2 専門家によるマルウェア駆除を依頼する

経験豊かなマルウェア駆除とセキュリティー対策の専門企業にご相談いただくこともお勧めいたします。
ワードプレスドクターでは、年間数百件に及ぶサイトのマルウェアを駆除・セキュリティー対策を請け負っております。

最新のマルウェア検出パターンかつ、上記プラグインより高検出率のマルウェア検出パターンでサイトのコードを検査し、マルウェアを駆除、脆弱性をふさぐ対策を行います。
また、専門家によって感染しやすいファイルの目視検査も実施しています。

3 感染しやすいファイルを手作業で確認しマルウェアを駆除する

ワードプレスのファイルは少なくとも数千ファイルはあり、手作業で一つ一つのファイルを検査するのは困難です。ただ、バックドアのコードはある程度特徴があり、それが埋め込まれているファイルには傾向がありますので、手作業でそういったファイルやコードを確認してみるのも意味はございます。
(ただこの方法だけですとバックドアがどこかに残ってしまう可能性は大きくなります)

バックドアのコードの例

バックドアのコードは下記のような特徴がございます。

・難読化されており一行の意味不明な文字列が並ぶ
・プログラムの上部に埋め込まれている場合が多い
・検出を避けるためにコメント(/*)が多数さしはさまれている
・eval(文字列をプログラムとして実行する関数)が含まれる
・base64_decode(プログラムの難読化によく使われます)が含まれる

バックドアが埋め込まれている場合が多いのが下記のようなファイルとなります
・wp-config.php
・index.php
・テーマのfunctions.php
・テーマのindex.php
・ワードプレスの正規ファイルの名称を一部変えた偽装ファイル

参考
ワードプレスに感染するマルウェアファイルの特徴5選

WordPress ワードプレスのマルウェア駆除・セキュリティー対策は専門家にお任せください。お気軽にご依頼・ご相談お送りください