最近、ちょくちょくWordpressで運用しているサイトでマルウェアが仕込まれたりする被害が増えています。

もう、10サイトくらいは復旧した気がします💦

連絡いただいて中を見ると、殆どが放置しているWordpressになりますね。

WordPressで運用する場合は、各種アップデートが必須です。

  • WordPress本体
  • プラグイン
  • テーマ
  • PHPのバージョン

常にアップデートしていても、奴らは新たなセキュリティホールを探して狙ってきます。
最近では自動更新も実装されていますが、たまにアップデートミスが発生したりするので、更新状況は常に監視できるように保守を依頼するなどした方が安心です。

今回、連絡いただいた中を見ると、被害状況はそんなに酷くありませんでした。
プラグインフォルダに怪しいファイルがあり、以下のようなコードが書かれていました。

この$sL7の文字列をベースにコードを復号していってるようで、もう少し紐解いていくと…

4つの関数が出てきます。

そして、最終的には gzinflate関数で圧縮されたコードが解凍されウィルスの実行ファイルが生成されていました。

この方法だと、ウィルス判定が難しいのでこういった手法を取っているんでしょうね。

$sL7の文字列を判定できるような正規表現を作って、サーバー上でソースを定期的にスキャンするプログラムとかあってもよさそう。
当然そうなると$sL7を分散するコードを作ってくるだろうから、イタチごっこになるでしょうけど。

何にしても、Wordpressで運用しているサイト様はお気を付けください!

自分もクライアント様のサイトは丁寧にしてますが、自分のサイトは放置気味なので注意しないといけないですね。