WordPressの不正アクセス:迷惑メールコンテンツ

弊社では、複数のWordPressサイトに影響を及ぼす不正アクセスを検出しています。この不正アクセスにより、攻撃者はWordPressに管理者ログインし、ホスティングアカウントにファイルをアップロードできるようになります。これらのファイルは、WordPressテーマやデータベースに迷惑メールコンテンツを埋め込むために使用され、詐欺サイトへの隠しリンクを作成します。

不正アクセスについての詳細と対処法については、Webサイトがハッキングされたらどうすればいいですか?を参照してください。

不正アクセスの兆候

この不正アクセスでは隠しリンクが作成されるため、サイトからは何も見えません。サイトが影響を受けているかどうかを見極める最善の方法は、ホームページのソースコードを確認することです。感染したホームページにアクセスしないようにするため、Google® ChromeかFirefox®でview-source:http://[ドメイン名]を使用することをお勧めします。

このウィンドウで、ソースコードの中から医薬品関連の広告やペイデイローンなどのよくあるオンライン詐欺を探します。次のような、よく使われる用語を検索してみてください。

  • ペイデイ(payday)
  • 医薬品(pharma)
  • バイアグラ(viagra)
  • シアリス(cialis)

救済措置

こうしたコンテンツを削除する一番簡単な方法は、影響を受けていないことが分かっているバックアップからWebサイトのコンテンツとデータベースを復元することです。

感染していないことが明らかなバックアップがない場合、コンテンツを手動で削除します。多くの場合、このコンテンツは次の2つの場所にあります。WordPressテーマのヘッダーと、WordPressデータベースです。

テーマを編集する

WordPressテーマは、WordPress管理者コントロールパネルから直接アクセスして編集できます。テーマのバックアップがある場合、WordPressの「外観」メニューから再インストールします。

ない場合、ファイル内のコードを直接確認します。WordPressでファイルを編集する方法については、ここにあるWordPress.orgのドキュメントを参照してください。

ここから、見つけたリンクを削除できます。

データベースから不要なものを削除する

攻撃者がデータベースに悪意のあるリンクを挿入する場合、検出されないようにするためにリンクを逆から入力することがよくあります(たとえば、「link」ではなく「knil」など)。データベース内でこのような単語を探します。

データベースに何らかの変更を加える前に、バックアップを取ることをお勧めします(詳細情報)。

phpMyAdminインターフェースの「検索」タブを使用して、データベーステーブルを手動で検索できます(詳細情報)。

また、phpMyAdminのSQLタブから、次のデータベースクエリを実行することもできます。

SELECT *
FROM `wp_options`
WHERE option_value LIKE '%>vid/<%'

このクエリは、HTMLマーカーdivが逆さまになったものを含むwp_optionsテーブル内のものをすべて選択します。次のような結果が表示されます。

クエリ結果

鉛筆アイコンをクリックすれば、コンテンツの詳細を参照できます。その行のコンテンツが拡大表示されます。ここでコンテンツを直接編集して悪意のあるテキストを削除します。変更を加えた後、「前のページに戻る」をクリックして保存します。コンテンツ全体が悪意のあるものである場合、「前のページに戻る」をクリックしてから赤い「X」アイコンをクリックしてエントリを削除します。

結果詳細

その他の不正アクセスされたファイル

テーマやデータベースから不要なものを削除したら、ホスティングアカウント内のファイルが正当なものであるかどうかを確認する必要があります。この不正アクセスには、大抵いくつかのファイルが関係しています。

  • ./html/wp-admin/includes/class-wp-locale.php
  • ./html/wp-admin/admin-media.php
  • ./html/wp-content/themes/twentyten/entry-meta.php
  • ./html/wp-content/themes/twentyten/sidebar-funcs.php
  • ./html/wp-includes/theme-compat/content.php
  • ./html/wp-includes/default-option.php

これらのファイル名は正当なものだとしても、ファイルが不正なものであることがあります。ファイルのコードを参照するか、変更された日付を同じディレクトリ内の他のファイルと比較すれば、ファイルが正当なものかどうかが分かります。

不正なファイルを削除するか、名前を変更する(そうすることで無効にする)ことをお勧めします。

技術情報

サンプルコード

既知の悪意のあるファイルのMD5Sum

  • dc1cd95ca7dcd00630a208024f89a5e1
  • 6e986fc5328ce3e3b1a36a3025704403
  • 0f183af9a1ed11124655a90b2fff54ac
  • 51377655c4d0b9db67a21b83f99dae4e
  • 51bb25bfbb0db6eb5359a9bc8567f4e6
  • f99b5bfd95336099a4adc436070d5cdd

この記事は役に立ちましたか。
フィードバックへのご協力ありがとうございました。 お客様サービススタッフとお話しになりたい場合は、上記のサポート用電話番号またはチャット機能をご利用ください。
お役にたてて光栄です! 何か他にできることはありませんか。
それはすみません。 わかりにくい点や、解決策で問題が解決できなかった理由等を教えてください。