WordPress サイトがマルウェアに感染しているかどうかを確認する方法

Last Updated: 2024 年 09 月 27 日 댓글

WordPress それ自体はセキュリティに強いですが、サイトを更新しない、またはセキュリティに脆弱なテーマやプラグインを使用すると、サイトがハッキングされたりマルウェア(マルウェア)に感染する可能性があります。

サイトにアクセスしたときに奇妙なスパムサイトにリダイレクトされるなど、異常の症状が発生した場合は、マルウェア感染を疑うことがあります。

Webホスティング会社のマルウェアスキャン機能

マルウェア感染が疑われる場合は、ホスティング会社に連絡してマルウェアスキャンを依頼することができます。一部のホスティングでは、サイトでマルウェアが見つかった場合は、ユーザーに通知して対処する必要があります。場合によっては、マルウェアを削除するまでサイトへのアクセスがブロックされることがあります。

ファーストコメット(FastComet)ケミクラウド(ChemiCloud) などのWebホスティングでは、Imunify360ツールを使用してマルウェアをスキャンし、マルウェアを削除する機能を提供します。

クラウドウェイズ図2024年9月9日(大韓民国時刻でおそらく9月10日)からImunify360が提供するマルウェアスキャン機能を無料で追加するとします。

Webホスティング会社からマルウェア感染の事実を通知された場合、マルウェアに感染したファイルのリストを要求する可能性があります。マルウェア感染ファイルのリストを確認してマルウェアを削除しようとする可能性があります。

※アップデート: クラウドウェイズのMalware Protection機能を使用してマルウェアが感染しているかどうかを確認し、マルウェアが検出された場合は感染したファイルのパスを確認できます。

WordPress サイトがマルウェアに感染しているかどうかを確認する方法

通常 マルウェアに感染すると、サイトにアクセスすると不要な外部サイトにリダイレクトされることがよくあります。

サイトがマルウェアに感染しているかどうかわからない場合は、前述のようにホスティング会社に連絡して、「マルウェア感染が疑われるため、マルウェアに感染したファイルのリストを教えてください」と尋ねると、マルウェアスキャンレポートが提供されます。

최근 Bluehost(Bluehost)から WordPress サイトのマルウェアを修復した後、クラウドウェイズに移行する作業を担当しました。

FTPに接続して見てみると、ほとんどのディレクトリに fbfvghnn.phpという奇妙な名前のファイルが生成されていることを確認しました。 public_htmlフォルダはもちろん、public_html外部フォルダにも同じファイルが作成されていました。

public_htmlの親フォルダにはシステム関連ファイルがあります。マルウェアスキャンを要求すると、スキャンレポートがpublic_htmlの親ディレクトリに生成されるようです。

チャットGPTを活用する

奇妙な名前のファイルがあれば、マルウェアの可能性が高くなります。確信が持てない場合は、ファイルの内容をチャットGPTに聞いてみると、マルウェアかどうかを教えてくれます。

上の絵の中にある fbfvghnn.php ファイルを開いてみると以下のようなコードになっていました。

コードをコピーしてチャットGPTに貼り付け、そのコードがマルウェアかどうかを尋ねました。

チャットGPTでは、そのファイルにマルウェアが含まれている可能性が非常に高く、理由を詳しく説明しています。

もちろん、チャットGPTの答えは不正確かもしれませんが、この種の質問についてはある程度正確な答えをするようです。

以下は WordPress サイトがインストールされているルートフォルダにあるファイルを表示します。表示されているファイルにはすべてマルウェアが含まれています。

これらのファイルのいずれかを開いてみると、次の図のようにわかりにくいコードになっていました。

マルウェアを含むファイルは、以下のように難読化されたコードになっている場合が特に多いです。

このコードについてチャットGPTに聞いてみると、予想通り「明らかなマルウェア」という答えを与えますね。

マルウェアの特徴の1つは、コードが意図的に理解するのが難しく難読化されていることです。

Bluehostを介してマルウェアをスキャンし、感染したファイルを削除しようとしましたが、完全にマルウェアが削除されずに再発したようです。

管理者ページにアクセスすると一部のメニューには接続できない現象が発生しました。そして エレメンで作成されたページを編集しようとしたため、エレメントは開かれませんでした。また、バックアッププラグインを使用してバックアップを実行した後、マルウェアの削除作業を進めようとしましたが、ほとんどすべてのバックアッププラグインが機能していませんでした。

悪意のあるコードをすべて削除してクラウドウェイズに移行した後、エレメンタを使用してページを編集することができました。そしてバックアッププラグインでバックアップも可能になりました。

マルウェアは個々のページにも挿入され、ディビからすべて削除されました。この過程で、依頼人が直接追加した一部のスクリプトも削除されました。 JavaScriptコードをページに直接追加するのはそれほど良い考えではないようです。

最後に、

マルウェア感染が疑われる場合は、まずWebホスティング会社に連絡してマルウェアのスキャンを依頼してください。心の良いホスティング会社の場合、悪意のあるコードを削除することもできます。ただし、正しく削除しないと再び再発するので、確実にマルウェアを削除してセキュリティ対策を行うことが重要です。

FTPを介してサーバーに接続し、奇妙な名前のファイルがある場合は、マルウェア感染を疑う可能性があります。そのファイルをPCにダウンロードしようとすると、Windowsのマルウェア検出プログラムが削除された場合、マルウェアが含まれている可能性があります。

共有ホスティングでは、あるサイトがマルウェアに感染すると、同じアカウント内の他のサイトもマルウェアに感染することがよくあります。したがって、共有ホスティングで1つのサイトが感染した場合は、そのアカウント内のすべてのサイトでマルウェアの削除を行い、 Bluehostの場合、public_htmlフォルダの外にもマルウェアに感染していると思われるファイルがないかスキャンする必要があります。

悪性コード感染を含む WordPress またはWebホスティング関連の問題で問題が発生した場合 ここでサービス(有料)をご依頼することができます。

参照


コメントを残す

コメント