ワードプレスにウィルス侵入？改ざんされた？「.htaccessとindex.php他もろもろ」

2024.02.03

レンタルサーバーで契約をしているクライアントのサーバーがマルウェアに感染していましたので、

対処法と解決策を書いていきます。

今回の事例

ワードプレスの管理画面に入れなくなったとクライアントより連絡があり、確認をしてみることに。

うーん、確かに真っ白。。

この時はまだ弊社でも気づいていないので、プラグインが何かしらの悪さをしているのかと思い、一旦全停止をして確認しても何も表示されない。。

あれ、おかしいなと思い、wp-debugをtureにしても何も反応しない・・

ここで、不審なファイルがないかを確認してみると、（この時は更新時間で最新のファイルを確認）

.htaccessの中身

(py|exe|phtml|php|PhP|php5|suspected)$"> Order Allow,Deny Deny from all 
(^wp-blog-header.php|^style.php|^style2.php|^wp-conflg.php|^index.php|^wp-by-login.php|^wp-head.php|^bar.php|^samll.php|^webdb.php|^file.php|^mariju.php|^doc.php|^100.php|^alfa.php|^Simple.php|^class.api.php|^iR7SzrsOUEP.php|^license.php|^wp-blog.php|^moon.php|^wp-add.php|^km.php|^LA.php|^wp-good.php|^wp-ldd.php|^upfile.php|^upload.php|^sgd.php|^install.php|^xmrlpc.php|^cloud.php|^shell.php)$"> 
Order allow,deny Allow from all

.index.phpの中身

こんな記述はしてないと思い、ここでウィルスの侵入に気づきました。

一旦、クリーンな状態に戻してみようと書き直して更新をしてみましたが、
5分後には再度上書きされている状態となりました。

侵入経路が原因不明なので、ここからはスピードとの闘いとなります。

侵入の考えられる原因

①脆弱性の存在
ワードプレス本体、テーマ、プラグインには脆弱性が存在する可能性があります。脆弱性が存在すると、ハッカーがその脆弱性を悪用してウイルスを侵入させることができます。

②パスワードの漏洩
パスワードが漏洩すると、ハッカーがあなたのアカウントに不正アクセスし、ウイルスを侵入させることができます。

③不正なプラグインのインストール
信頼できないサイトからダウンロードしたプラグインには、ウイルスが仕込まれている可能性があります。

④クライアントのPCにウィルスがある場合
PCがウィルスした状態でワードプレス等にログインすると情報が抜き取られる恐れがあります。

改ざんされたファイルの特定方法

①ファイルの比較
前回のバックアップと現在のファイルを比較することで、改ざんされたファイルを見つけることができます。

②ウイルススキャン
ウイルススキャンソフトを使用して、ウイルスに感染したファイルを見つけることができます。

「Anti-Malware Security」←このマルウェア対策スキャナは、マルウェア、ウイルス、およびその他のセキュリティ上の脅威と脆弱性をサーバー上で検索し、その脆弱性を修正するのに役立ちます。

③ログファイルの確認
ログファイルを確認することで、不正なアクセスがないかを確認することができます。（契約しているサーバーのパネルなどに入れば確認することができます。）

対処

隠しファイルなどで目視出来ないウィルスが紛れ込んでいる可能性もあるので、サーバーの変更をすることにしました。

ダウンロードするデータ

・データベース
・uploads
・theme
・念のためwp-config.ph

これは全てのデータベースの中身やuploadsのフォルダの中に不審なファイルが紛れていないか、
themeファイルのコードの中に書き換えられているコードがないかを全て確認する必要があります。
（テーマファイルの中で更新時間は昔のままで、中身を書き換えられているフィルがありました。）
また、データベースのwp-optionの中で必要のないユーザーが紛れていないかを確認するのがいいと思います。

新しいサーバー移行後の対処法

新しいサーバーに全て移行させた後は、
・最新のバージョンを維持する
・ユーザーのパスの変更（強力にする）
・使用していないプラグインは削除
・セキュリティ対策のプラグインを入れる
SiteGuard WP Plugin←管理画面のページのURLを変更その他はロック
・バックアップはサーバー内ではなくグーグルドライブやドロップボックス入れる