ワードプレスでWPCode – Insert Headers and Footersプラグインにマルウェア(リダイレクトコード)が書き込まれる事例が発見されましたのでこちらの事例につきましてご紹介いたします。
WPCode – Insert Headers and Footers insert-headers-and-footers プラグインを利用した、サイトを不正ないページにリダイレクトするマルウェア
このマルウェアはWPCode – Insert Headers and Footersプラグインを勝手にインストールもしくは、既にインストールされているこのプラグインに不正なPHPコードを書き込むことによってサイトを別の懸賞サイトやロボット認証サイトにリダイレクトします。※リダイレクト先はweb-hosts.ioである場合が多いです。
このマルウェアの巧妙な点は不正なリダイレクトに加えて下記の点となります。
・プラグインに追加された不正なPHPコードはプラグインの管理画面やメニュー自体を隠すコードも含まれている
→このためプラグインの管理画面が見えなくなっています
・一度でも管理者ログインしたユーザーはリダイレクトしない。
→このためリダイレクトを再現できず、調査や露見が遅れます
※マルウェアはデータベースのwp_optionテーブルのキーwpcode_snippetsのセルに書き込まれることが多いです
WPCode プラグインのマルウェアの発見と駆除
ワードプレスサイトがリダイレクトされる症状がある場合、このタイプの感染も疑う必要がございます。
WPCode – Insert Headers and Footersプラグイン がプラグイン一覧画面やwp-content/plugins/insert-headers-and-footers フォルダにあり、かつ入れた覚えがない場合は、このプラグインの停止と削除を行えば、不正なコードの実行を止めることができます。
また、このマルウェアをハッカーが導入できたという事は、管理画面にログインできたという事です。
ワードプレスの不正なユーザーの調査駆除、その他のマルウェアの検索駆除を行います。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
その後、基本的なセキュリティー対策も行い再感染を防ぎましょう。
WordPress ワードプレスのマルウェア駆除・セキュリティー対策は専門家にお任せください。お気軽にこちらからご依頼・ご相談お送りください