【WordPressマルウェア感染の対処法】謎のポップアップ広告編

02/27/202103/02/2021

こんにちはWEBマーケターの川﨑です。

WordPress（ワードプレス）で作ったWEBサイトで謎のポップアップ広告が表示されたり、データが改ざんされたりなどのトラブルに見舞われたことはないでしょうか？

実は私も体験したことがあります。

そこで今回は私がWordPress（ワードプレス）のマルウェア感染で行った対処方法についてご紹介させていただきます。

他サイトさんでも非常に参考になった記事も紹介させていただきますので、感染対策に役立ててください。

結論から言うと、私は外注しましたｗ

もしどうしてもご自身で解決できない場合は、下記よりご相談ください。

マルウェア感染の調査・駆除・除去WordPressのことならなんでも相談！

WEBサイトのマルウェア感染、トラブル復旧、修正、カスタマイズなど！
WordPress（ワードプレス）のホームページのことならお任せください。

MEDIA DOCTOR

[toc]

【Wordpress（ワードプレス）マルウェア感染の対処法①】そもそもマルウェア感染とは？

マルウェア感染とは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称です。
じつは色々な種類がありますが以下のような種類があります。

マルウェアとは

他のプログラムやファイルの一部を書き換え（寄生、感染）、自己複製する機能を持つマルウェアのことである^[10]^[14]^[11]。感染対象のプログラムの事をウイルスの宿主もしくはホストプログラム^[14]という。感染経路を秘匿するなどの目的で、プログラムなどに感染したあと一時的に潜伏し、その後しばらく経ってから活動を開始（発病）するものも多い^[11]。

引用元：Wikipedia

つまり…

パソコンのファイルやプログラムに寄生し、ファイルを削除したり改ざんしたりするもの。

自己増殖し、浸食部分を広げていくと非常にやっかいな特徴を持っています。
寄生先となるファイルやプログラムが必要になるのがマルウェアのウイルスです。

ワーム

独立したプログラムであり、自身を複製して他のシステムに拡散する性質を持ったマルウェアである。宿主となるファイルを必要としない点で、狭義のコンピュータウイルスとは区別される。しかし、ネットワークを介して他のコンピュータに伝染していく点では共通しており、同一視されることもある。

引用元：Wikipedia

トロイの木馬

マルウェア（コンピュータの安全上の脅威となるソフトウェア）の一分類である。
ギリシア神話におけるトロイア戦争のストーリーにあるトロイの木馬になぞらえて名前がつけられたもので、名前の由来の通り、有用な（少なくとも無害な）プログラムあるいはデータファイルのように偽装されていながら、その内にマルウェアとして機能する部分を隠し持っていて、何らかのトリガによりそれが活動するように仕組まれているファイル等を指す。
感染したりしないものは分類上はコンピュータウイルスではない。毎年いくつかの新種と、膨大な数の亜種が作り出されている。

他にもマルウェアウイルスはたくさんの種類があります。

興味のある方はぜひ調べてみてください。

【Wordpress（ワードプレス）マルウェア感染の対処法②】事例・症状とは？

今回紹介するのは、アドウェアやスパム広告とも呼ばれる、ポップアップ広告を勝手に表示させるタイプのものでした。

ホームページにアクセスして、どこかクリックするとポップアップ広告が表示されるという症状で、海外サイトやギャンブルサイト、一部アダルトまで表示される…というブランドイメージを台無しにするヤツです。

当初は「PCが感染してるのでは？！」と焦りましたが…

①他のサイトはクリックしても問題なかった点

②該当サイトを他のPCで見ると同じ症状が出た点

以上のことから「WordPress（ワードプレス）サイトが原因だ」と確信しました。

とはいえ、Wordpress（ワードプレス）の一体どこに原因があるのかが中々解明できず…色々な情報サイトを回ると下記のサイトに。

やまに

知らない間にスパム広告がポップアップ表示されるようになってたので対策した話先日、やまにのウェブサイトを確認していたんですが、なんか急に関係ないサイトがポップアップ表示されるようになってました。最初はグーグルの広告かな？なんて思ってた...

こちらで紹介されていた症例は…

「外部サーバーのJavaScriptを読むコードが、サービス終了で違うコードが読まれるようになって、不正広告が出る状態になっていた」

というのが原因でした。

そこで上記サイトに記載されていた、JSファイルを見つけだそうとしましたが…いくら探しても見つからず。

さて…どうしたもんだろう。

【Wordpress（ワードプレス）マルウェア感染の対処法③】マルウェア感染を調べる方法はあるの？

さらに調べていくとマルウェアウイルスに感染しているかどうかを確認するサイトに出会いました。

こちらにURLを入力すると感染状況やブラックリストに載っているかが出てきます。

とはいえ、外部からソースを確認するものなので、詳しい位置までは特定できないのだとか。

この手の無料サービスは他にもありましたが、検出率はあまり高くなさそうです。

そうなると…
「マルウェアウイルスの位置を検出するプラグインがあればいいのでは？」

と考え、ワードプレス・ドクターというサイトにたどり着きました。

こちらでマルウェアウイルスを検出する無料プラグインを提供されています（神）

マルウェアスキャナープラグイン

ワードプレスドクターのクラウドサーバー経由で日々増え続ける最新のマルウェアパターンを取得し、ワードプレスのファイルとデータベースを内部から完全スキャンし、ハッカーが改ざんしたファイルをプログラムが調査、検出します。
ワードプレスが乗っ取りされたときにマルウェアの位置や、改ざん箇所を調べることができます。

引用元：ワードプレス・ドクター

さっそくプラグインを入れてみました。

「だがしかし・・・検出されず！！」

これはもう私のレベルではお手上げです…

【Wordpress（ワードプレス）マルウェア感染の対処法④】マルウェア感染の駆除・除去をするにはどうすればいいの？

とはいえ、ここで諦めては男が廃る…

他にマルウェアを特定する方法はないか探っていると…

WordPress(ワードプレス)のカスタ...

【解決済み】ワードプレスのマルウェア駆除ワードプレスのマルウェア（ウィルス）の発見、駆除方法を無料で公開。「サイトが真っ白」「ダッシュボードのログイン出来ない」「知らないファイル」「ファイルに意味不明...

こちらのページにたどり着きました。

おかげさまで「これだ！」と思うファイルとコードの特定に成功。

特に響いた一説を引用させていただきました。

更新日が他のファイルと比べて新しいファイルはダウンロードして、中身を確認しましょう。マルウェアに感染しているファイルは、本来存在しないコードが羅列しています。以下のようなコードがあり、アルファベッドで意味不明なコードが書いてあったらマルウェアコードの可能性があります。

引用元：ワードプレスカスタマイズネット

今回、私が見つけたのは…

1、jsファイル内「aviapopup」

Googleのデベロッパーツールを使って、広告表示されるときに読み込むファイルを特定。

2、header.phpとfooter.php

１のファイルを読み込む記述を削除

このどちらも削除すれば、ポップアップ広告は表示されなくなるはず…

ですが、結局なにが原因で感染したのかはわからずじまいです。

【Wordpress（ワードプレス）マルウェア感染の対処法⑤】マルウェア感染の再発防止策

なんとなく煮え切らない上、再発も怖かったので結局はプロにお願いすることにしました。

今回は軽症のうちに対処したのでなんとかなりました。
しかし、感染力の強いマルウェアにかかってしまうと、最悪の場合サーバーが凍結する可能性あるそうです。

今後マルウェア感染を防ぐためにやるべきことを引用させていただきました。

ワードプレスの本体は最新バージョンに保つ

プラグインは最新バージョンに保つ

不必要なプラグインを使わない

不必要なユーザーアカウントを作成しない

不必要な管理者権限ユーザーを作成しない

テーマ、プラグインの脆弱性情報を収集する

利用中のプラグインで脆弱性が見つかった場合、速やかに利用を停止する

ダッシュボードへ、海外ネットワークからアクセス禁止にする

ワードプレスファイルのパーミッションを適切なものに保つ

adminユーザーを使わない

ユーザーアカウントのパスワードを誕生日など、推測可能なものにしない

FTPアカウントのパスワードを推測可能なものにしない

ブラウザを最新バージョンにアップグレードする

怪しいサイトにアクセスしない

PCのOSを最新バージョンに保つ

PCにウィルス対策ソフトをインストール

怪しいメール内に記載したリンクをクリックしない

バックアップを定期的に取得する

引用元：ワードプレスカスタマイズネット