WordPressにマルウェアを送り込むソースを埋め込まれた時の対処法
JPCERT/CC や サーバーの管理会社から、下記のようなメールが届いた場合は要注意。
<div id=”zqtf” style=”display:none”>67 76 90auc 72 1-8 a7 bm,as4等の文字列が埋め込まれています。
※当該 URL を確認する際は、十分お気をつけください。確認する際は、
ブラウザのスクリプト機能を無効にするなど、影響ない環境で、
ご確認ください。
※上記は、http と :// の間を空けております。
※当該コードは Internet Explorer で確認しております。
同様の改ざんは WordPress や Joomla などの CMS を使用したサイトで確認
されており、”//istart” や “//iend” のような文字列が埋め込まれていまし
た。CMS に関連するファイルを一度ご確認願います。
でも、対応は簡単なので、すぐに対処しよう。
JPCERT/CCとは?
一般社団法人 JPCERTコーディネーションセンターの略で、簡単に言うと、セキュリティ関連の注意喚起をしている機関。
原因と攻撃の経路
これは、Wordpress 4.4系より前バージョンのセキュリティホールを狙ったものだ。もちろんサーバーの状況などにより、Wordpress4.3以前のバージョンでも攻撃されない場合もある。
ちなみに、ロリポップ、お名前.comは特に多くの被害が報告されている。
→ マルウェアを埋め込まれると、ブラウザでのデータのやり取りが外部に送信されるので、メールフォームなどを設置している場合は特に注意が必要。
簡単に特定でき、修正もできるので、被害が発生する前に対処しよう。
WordPressの場合
/wp-includes/nav-menu.php
/wp-admin/includes/nav-menu.php
この2種類のファイルが狙われ、ソースコードの中に //istart と //iend というコードが埋め込まれてしまう。
FTPソフトで、/wp-includes/nav-menu.php と /wp-admin/includes/nav-menu.php の2つのファイルを確認し、 istart と検索して、該当があれば攻撃されている。
//istart から //iend までのソースを全て削除すれば、ひとまず脅威はなくなる。
その後、再度同じ被害にあわないように、WordPressを最新にアップデートしておくこと。
既にWordpressが最新の場合は、サーバーの設定に問題がある。
海外からの管理画面や、コアファイルへのFTPアクセスをを全て拒否する設定する。
管理画面にBASIC認証を設定する。
などの対策が有効。