wordpressで改ざんされたサイトからマルウェアと駆除する方法


インターネット / 土曜日, 9月 27th, 2014

malware1

昨日、アクセス数が一気に減ったのでおかしいなと思ってブログをチェックしたところ、マルウェアというものに感染していました。

こちらをGoogleが認識すると、検索結果やChromeからアクセスした際に警告が出て、サイトに繋がらなくなってしまいます。

これは大問題なので、本日早速対処してみました。

その際に、最初まったく方法が分からなかったので、今回行った対処を書いておきたいと思います。

[adsense]

 

まずはウェブマスターツールに登録

まずはウェブマスターツールに登録します。(僕は既にしていたので、メールも来ました。)

ウェブマスターツールに登録し、サイトも登録したら、「セキュリティの問題」を開きます。

malware0

「セキュリティの問題」を開くと、このように忠告が出てきます。

こちらに対処した上で、「これらの問題を修正しました」にチェックを入れて、「再審査をリクエスト」のボタンから再審査をリクエストすれば、サイトへのアクセス制限や警告はなくなり、通常の状態に戻ります。

それでは、再審査をリクエストする前に、どのような対処を行えばよいのでしょうか。

 

WordPressのファイルに改ざんによって不正なコードが追加されていないかを調べる

他のページにリダイレクトするようなコードを仕込まれていないか等を順番にチェックしていくことになります。

まずはプラグインをチェック

WordPressはプラグインを常にアップデートしていないと脆弱性があり、コードを改ざんされてしまう恐れがあるとのことです。

まずは不要なプラグインを全てファイルごと消してしまいましょう。必要なものはアップデートなり、削除して最新版を再インストールなりします。

次に各種ファイルをチェック

次に各種ファイルをチェックします。

僕の場合はテーマの中に新しいphpファイルが追加されて、そこにコードが挿入されていました。

こちらですね。

eval

eval(base64_decode( など、いくつか頻出のコードパターンがあるようなので、そちらを先に調べると見つけやすいかと思います。

バックアップがある場合は、そちらとの差分を抽出すると楽だそうです。

問題のコードを見つけたら、そちらを削除します。

 

再申請が受理されれば完了

問題の改ざんを削除したら、先ほどのようにウェブマスターツールで申請します。

malware2

問題がなければ、このように「おめでとう!Googleはあなたのマルウェアレビューリクエストを受け付けたよ。ひとつも無かったね。よかったね!」というのんきなメッセージが送られてきます。

これから数十分でサイトは通常の状態に戻ります。

 

セキュリティを強くしておこう

一度、改ざんされたということなので、セキュリティを強くしておきます。

WordPressやFTPのパスワードを変更する等をしておくと良いとのこと。

後はFTPのほうでフォルダの書き換え権限をいじる等ですね。

WordPressのユーザーも知らないアカウントが追加されていないかチェックしておきましょう。

 

ということで

今回はプラグインの削除と、一箇所のコード削除で対処できました。

何千という改ざんをされるパターンもあるようなので、このくらいで済んで良かったです!

 

ここら辺のブログ記事が参考になります。

WordPressブログにRFI攻撃!?PHPファイルへの eval(base64_decode()) 埋め込みによる改ざんと対処方法

http://makerslove.com/1730.html