Webサイトのお助け隊

マルウェアが隠れやすいWordPressのファイルとディレクトリ

6 views
約16分

あのさ、今日、ちょっとヤバい話をしたいんだけど、いい?で、これ、マジでヤバいから、最後まで聞いてほしいんだ。

何の話かっていうと、WordPressのマルウェアの話なんだよね。で、「マルウェア?何それ?」って思った人、多いと思うんだけど、まあ、簡単に言うと、悪質なプログラムのこと。で、このマルウェアが、WordPressのファイルとかディレクトリに隠れてるんだよ。

でもね、マルウェアって、どこにでも隠れるわけじゃないんだよ。で、マルウェアが隠れやすい場所っていうのが、実は決まってるんだ。で、その場所を知っておくと、マルウェアを見つけやすくなるんだよね。

これ、実際にあった話なんだけど、ある企業のサイトが、マルウェアに感染して、すごい目に遭ったことがあるんだよ。で、その企業は、マルウェアがどこに隠れてるのか分からなくて、すごく苦労したんだ。で、その話を聞いたとき、「マルウェアが隠れやすい場所を知っておくことって、すごく重要なんだな」って思ったんだよね。

だから、この記事では、マルウェアが隠れやすいWordPressのファイルとディレクトリについて、詳しく解説する。で、実際の被害事例も紹介するから、ぜひ参考にしてほしい。

そもそもマルウェアって何?

まず、基本的な話から始めるんだけど、マルウェアって、何なのかって話。で、これ、意外と知らない人が多いんだよね。

マルウェアっていうのは

まず、マルウェアっていうのは、悪質なプログラムの総称なんだよ。で、「マルウェア」っていう言葉は、「Malicious(悪意のある)」と「Software(ソフトウェア)」を組み合わせた言葉。

マルウェアには、いろんな種類があるんだよ。例えば、ウイルスとか、トロイの木馬とか、ランサムウェアとか。で、それぞれ、違う目的で作られてる。

でもね、WordPressのマルウェアっていうのは、主に、以下の目的で作られてるんだよ。

  1. SEOスパム:検索エンジンのランキングを操作するために、スパムリンクを埋め込む
  2. バックドア:攻撃者が、いつでもサイトにアクセスできるようにする
  3. フィッシング:偽のログインページを表示して、ユーザーの情報を盗む
  4. リダイレクト:ユーザーを、悪質なサイトにリダイレクトする
  5. マイニング:ユーザーのCPUを使って、暗号通貨をマイニングする

これらのマルウェアが、WordPressのファイルとかディレクトリに隠れてるんだよ。

マルウェアが隠れやすい理由

次に、マルウェアが隠れやすい理由について話すんだけど、これが結構重要なんだよね。

まず、WordPressっていうのは、たくさんのファイルとディレクトリで構成されてる。で、たくさんのファイルとディレクトリがあるってことは、マルウェアが隠れる場所もたくさんあるってこと。

あと、WordPressのファイルとディレクトリっていうのは、定期的に更新されるんだよ。で、更新されるってことは、新しいファイルが追加されたり、既存のファイルが変更されたりする。で、その更新の中に、マルウェアが紛れ込むことがあるんだよ。

これが本当に怖いのは、マルウェアが、正規のファイルに紛れ込んでるってこと。だって、正規のファイルに紛れ込んでると、マルウェアを見つけるのが、すごく難しいから。

マルウェアが隠れやすいファイルとディレクトリ

次に、マルウェアが隠れやすいファイルとディレクトリについて話すんだけど、これが本当に重要なんだよ。

1. wp-content/uploads/ディレクトリ

まず、一番マルウェアが隠れやすいのが、wp-content/uploads/ディレクトリ。で、このディレクトリには、画像とかファイルがアップロードされるんだけど、マルウェアも一緒にアップロードされることがあるんだよ。

これが本当に怖いのは、uploadsディレクトリには、PHPファイルがアップロードされることがあるってこと。で、PHPファイルがアップロードされると、そのファイルが実行されて、マルウェアが動作しちゃうんだよ。

これ、実際にあった話なんだけど、あるブログが、uploadsディレクトリにマルウェアをアップロードされて、サイトが乗っ取られたことがあるんだよ。で、そのブログは、数週間もマルウェアに気づかなくて、すごい被害を受けたんだ。で、「uploadsディレクトリって、本当に危険なんだな」って思ったんだよね。

あと、uploadsディレクトリには、.htaccessファイルを置いて、PHPファイルの実行を禁止することが重要なんだよ。で、.htaccessファイルに、以下のコードを追加すると、PHPファイルの実行を禁止できる。

<Files *.php>
deny from all
</Files>

2. wp-content/themes/ディレクトリ

次に、マルウェアが隠れやすいのが、wp-content/themes/ディレクトリ。で、このディレクトリには、WordPressのテーマファイルが保存されてるんだけど、マルウェアが、テーマファイルに埋め込まれることがあるんだよ。

マルウェアが埋め込まれやすいテーマファイルは、以下の通り。

  • functions.php:テーマの機能を定義するファイル
  • header.php:ヘッダー部分を表示するファイル
  • footer.php:フッター部分を表示するファイル
  • index.php:トップページを表示するファイル

これらのファイルに、マルウェアが埋め込まれると、サイトのすべてのページに、マルウェアが表示されちゃうんだよ。で、これが本当に怖い。

これ、実際にあった話なんだけど、あるECサイトが、functions.phpにマルウェアを埋め込まれて、すべてのページに、スパムリンクが表示されたことがあるんだよ。で、そのECサイトは、Googleから、「スパムサイト」って認識されて、検索順位が大幅に下がったんだ。で、「テーマファイルにマルウェアが埋め込まれると、こんなに被害が大きいのか…」って思ったんだよね。

3. wp-content/plugins/ディレクトリ

次に、マルウェアが隠れやすいのが、wp-content/plugins/ディレクトリ。で、このディレクトリには、WordPressのプラグインファイルが保存されてるんだけど、マルウェアが、プラグインファイルに埋め込まれることがあるんだよ。

特に、使ってないプラグインとか、古いプラグインに、マルウェアが埋め込まれることが多いんだよ。だって、使ってないプラグインとか、古いプラグインは、更新されてないから、脆弱性があることが多いんだ。

これ、実際にあった話なんだけど、ある企業のサイトが、使ってないプラグインにマルウェアを埋め込まれて、バックドアを設置されたことがあるんだよ。で、その企業は、バックドアに気づかなくて、数ヶ月も攻撃者にサイトを操作されてたんだ。で、「使ってないプラグインって、本当に危険なんだな」って思ったんだよね。

だから、使ってないプラグインは、すぐに削除することが重要なんだよ。で、削除するだけじゃなくて、定期的に、プラグインを更新することも重要。

4. wp-includes/ディレクトリ

次に、マルウェアが隠れやすいのが、wp-includes/ディレクトリ。で、このディレクトリには、WordPressのコアファイルが保存されてるんだけど、マルウェアが、コアファイルに埋め込まれることがあるんだよ。

wp-includes/ディレクトリには、たくさんのPHPファイルがあるから、マルウェアが隠れやすいんだよ。で、特に、以下のファイルに、マルウェアが埋め込まれることが多い。

  • class-wp-widget.php
  • class-wp-theme.php
  • functions.php
  • pluggable.php

これらのファイルに、マルウェアが埋め込まれると、サイトのすべてのページに、マルウェアが表示されちゃうんだよ。

これ、実際にあった話なんだけど、あるブログが、wp-includes/ディレクトリのファイルにマルウェアを埋め込まれて、すべてのページに、リダイレクトが設置されたことがあるんだよ。で、そのブログは、ユーザーが、悪質なサイトにリダイレクトされて、すごいクレームを受けたんだ。で、「wp-includes/ディレクトリって、本当に危険なんだな」って思ったんだよね。

5. ルートディレクトリ

次に、マルウェアが隠れやすいのが、ルートディレクトリ。で、ルートディレクトリっていうのは、WordPressがインストールされてる一番上のディレクトリのこと。

ルートディレクトリには、以下のファイルがあるんだけど、これらのファイルに、マルウェアが埋め込まれることがあるんだよ。

  • wp-config.php:WordPressの設定ファイル
  • index.php:WordPressのエントリーポイント
  • .htaccess:サーバーの設定ファイル

特に、wp-config.phpに、マルウェアが埋め込まれると、データベースの情報が盗まれたり、サイトが乗っ取られたりする。で、これが本当に怖い。

これ、実際にあった話なんだけど、ある企業のサイトが、wp-config.phpにマルウェアを埋め込まれて、データベースの情報が盗まれたことがあるんだよ。で、その企業は、データベースの情報が盗まれたことに気づかなくて、数ヶ月も攻撃者にデータベースを操作されてたんだ。で、「wp-config.phpって、本当に危険なんだな」って思ったんだよね。

6. .htaccessファイル

次に、マルウェアが隠れやすいのが、.htaccessファイル。で、.htaccessファイルっていうのは、サーバーの設定ファイルなんだけど、マルウェアが、.htaccessファイルに悪質なコードを追加することがあるんだよ。

.htaccessファイルに、悪質なコードが追加されると、以下のような被害が出る。

  • リダイレクト:ユーザーを、悪質なサイトにリダイレクトする
  • スパムリンク:検索エンジンのランキングを操作するために、スパムリンクを埋め込む
  • アクセス制限:特定のIPアドレスからのアクセスを制限する

これ、実際にあった話なんだけど、あるブログが、.htaccessファイルに悪質なコードを追加されて、すべてのユーザーが、悪質なサイトにリダイレクトされたことがあるんだよ。で、そのブログは、Googleから、「悪質なサイト」って認識されて、検索結果から削除されたんだ。で、「.htaccessファイルって、本当に危険なんだな」って思ったんだよね。

7. wp-config.phpファイル

次に、マルウェアが隠れやすいのが、wp-config.phpファイル。で、wp-config.phpファイルっていうのは、WordPressの設定ファイルなんだけど、マルウェアが、wp-config.phpファイルに悪質なコードを追加することがあるんだよ。

wp-config.phpファイルに、悪質なコードが追加されると、以下のような被害が出る。

  • データベースの情報が盗まれる:データベースのユーザー名とパスワードが盗まれる
  • バックドアが設置される:攻撃者が、いつでもサイトにアクセスできるようにする
  • 管理者権限が奪われる:攻撃者が、管理者権限を取得する

これが本当に怖いのは、wp-config.phpファイルに、悪質なコードが追加されると、サイトが完全に乗っ取られちゃうってこと。

これ、実際にあった話なんだけど、ある企業のサイトが、wp-config.phpファイルに悪質なコードを追加されて、サイトが完全に乗っ取られたことがあるんだよ。で、その企業は、サイトを復旧するのに、数週間もかかったんだ。で、「wp-config.phpファイルって、本当に危険なんだな」って思ったんだよね。

8. 隠しファイルとディレクトリ

最後に、マルウェアが隠れやすいのが、隠しファイルとディレクトリ。で、隠しファイルとディレクトリっていうのは、ファイル名やディレクトリ名が、ドット(.)で始まるファイルとディレクトリのこと。

隠しファイルとディレクトリは、通常、表示されないから、マルウェアが隠れやすいんだよ。で、特に、以下のような隠しファイルとディレクトリに、マルウェアが隠れることが多い。

  • .ico:アイコンファイルに見せかけたマルウェア
  • .well-known/:正規のディレクトリに見せかけたマルウェア
  • .tmp/:一時ファイルに見せかけたマルウェア

これ、実際にあった話なんだけど、あるブログが、.icoファイルにマルウェアを隠されて、数ヶ月もマルウェアに気づかなかったことがあるんだよ。で、そのブログは、マルウェアに気づいたときには、すでに、すごい被害を受けてたんだ。で、「隠しファイルって、本当に危険なんだな」って思ったんだよね。

マルウェアを見つける方法

ここまで、マルウェアが隠れやすいファイルとディレクトリについて話してきたんだけど、「じゃあ、どうやってマルウェアを見つけるの?」って思うよね。

答えは、以下の方法を使うこと。

1. セキュリティプラグインを使う

まず、一番簡単なのが、セキュリティプラグインを使う方法。で、セキュリティプラグインを使うと、自動的に、マルウェアをスキャンしてくれるんだよ。

おすすめのセキュリティプラグインは、以下の通り。

  • Wordfence Security:無料で使える、高機能なセキュリティプラグイン
  • Sucuri Security:マルウェアのスキャンと削除ができるプラグイン
  • iThemes Security:セキュリティ対策を総合的にできるプラグイン

これらのプラグインを使うと、定期的に、マルウェアをスキャンしてくれるから、マルウェアを早期に発見できるんだよ。

2. ファイルの更新日時をチェックする

次に、ファイルの更新日時をチェックする方法。で、ファイルの更新日時をチェックすると、最近更新されたファイルが分かるんだよ。で、最近更新されたファイルの中に、マルウェアが隠れてることが多いんだ。

ファイルの更新日時をチェックする方法は、FTPソフトとかSSHを使って、サーバーにアクセスして、ファイルの更新日時を確認する。

これ、実際にあった話なんだけど、あるブログが、ファイルの更新日時をチェックして、マルウェアを発見したことがあるんだよ。で、そのブログは、マルウェアを早期に発見できたから、被害を最小限に抑えることができたんだ。で、「ファイルの更新日時をチェックするって、すごく重要なんだな」って思ったんだよね。

3. ファイルのサイズをチェックする

次に、ファイルのサイズをチェックする方法。で、ファイルのサイズをチェックすると、通常よりも大きいファイルが分かるんだよ。で、通常よりも大きいファイルの中に、マルウェアが隠れてることが多いんだ。

ファイルのサイズをチェックする方法は、FTPソフトとかSSHを使って、サーバーにアクセスして、ファイルのサイズを確認する。

4. ファイルの内容をチェックする

最後に、ファイルの内容をチェックする方法。で、ファイルの内容をチェックすると、不審なコードが見つかることがあるんだよ。

不審なコードっていうのは、例えば、以下のようなコード。

  • base64_decode():エンコードされたコードをデコードする関数
  • eval():文字列をPHPコードとして実行する関数
  • gzinflate():圧縮されたデータを展開する関数
  • str_rot13():文字列を暗号化する関数

これらの関数が使われてるファイルは、マルウェアの可能性が高いんだよ。

これ、実際にあった話なんだけど、ある企業のサイトが、ファイルの内容をチェックして、base64_decode()を使ったマルウェアを発見したことがあるんだよ。で、その企業は、マルウェアを早期に発見できたから、被害を最小限に抑えることができたんだ。で、「ファイルの内容をチェックするって、すごく重要なんだな」って思ったんだよね。

マルウェアを削除する方法

マルウェアを見つけたら、次は、マルウェアを削除する必要があるんだけど、これが結構難しいんだよね。

1. セキュリティプラグインを使う

まず、一番簡単なのが、セキュリティプラグインを使う方法。で、セキュリティプラグインを使うと、自動的に、マルウェアを削除してくれるんだよ。

おすすめのセキュリティプラグインは、以下の通り。

  • Wordfence Security:無料で使える、高機能なセキュリティプラグイン
  • Sucuri Security:マルウェアのスキャンと削除ができるプラグイン

2. 手動で削除する

次に、手動で削除する方法。で、手動で削除する方法は、FTPソフトとかSSHを使って、サーバーにアクセスして、マルウェアが埋め込まれたファイルを削除する。

でもね、手動で削除する方法は、すごく難しいんだよ。だって、マルウェアが、どのファイルに埋め込まれてるのか分からないことが多いから。で、間違って、正規のファイルを削除しちゃうと、サイトが動かなくなっちゃうんだよ。

だから、手動で削除する方法は、あんまりおすすめしない。

3. 専門家に依頼する

最後に、専門家に依頼する方法。で、専門家に依頼すると、確実に、マルウェアを削除してくれるんだよ。

専門家に依頼する方法は、WordPressのセキュリティ専門の会社に依頼する。で、専門の会社に依頼すると、マルウェアを削除するだけじゃなくて、セキュリティ対策もしてくれるから、すごく安心なんだよ。

でもね、専門家に依頼する方法は、お金がかかるんだよ。だから、予算がある人は、専門家に依頼することをおすすめする。

まとめ

今回は、マルウェアが隠れやすいWordPressのファイルとディレクトリについて話したんだけど、どうだった?

まとめると、マルウェアが隠れやすいファイルとディレクトリは、以下の8つ。

  1. wp-content/uploads/ディレクトリ:画像とかファイルがアップロードされるディレクトリ
  2. wp-content/themes/ディレクトリ:テーマファイルが保存されてるディレクトリ
  3. wp-content/plugins/ディレクトリ:プラグインファイルが保存されてるディレクトリ
  4. wp-includes/ディレクトリ:コアファイルが保存されてるディレクトリ
  5. ルートディレクトリ:WordPressがインストールされてる一番上のディレクトリ
  6. .htaccessファイル:サーバーの設定ファイル
  7. wp-config.phpファイル:WordPressの設定ファイル
  8. 隠しファイルとディレクトリ:ファイル名やディレクトリ名が、ドット(.)で始まるファイルとディレクトリ

これらのファイルとディレクトリを、定期的にチェックすることが重要なんだよ。で、チェックする方法は、セキュリティプラグインを使ったり、ファイルの更新日時をチェックしたり、ファイルの内容をチェックしたりする。

「まあ、今のところ問題ないし、チェックは後でいいや」って思ってる人、ちょっと待って。問題が起きてからでは遅いんだよ。問題が起きる前に、チェックしておくことが重要なんだ。

だから、この記事を読んだら、すぐに、セキュリティプラグインをインストールして、マルウェアをスキャンしてほしい。で、スキャンすることで、サイトを守ることができるんだよ。

正直、マルウェアって、本当に怖いんだよ。だって、知らないうちに、サイトが乗っ取られたり、データが盗まれたりするから。だから、ぜひ、定期的に、マルウェアをチェックしてほしい。

WordPressのセキュリティ、不安に思っていませんか?

「自分のサイトは大丈夫だろうか…」
「何から手をつければいいか分からない…」

もしあなたが少しでもそう感じているなら、専門家によるセキュリティ診断を受けてみることを強くお勧めします。

>> WordPressセキュリティ無料診断はこちら

上記のサイトでは、WordPressのプロがあなたのサイトの脆弱性を無料で診断してくれます。問題が見つかれば、具体的な対策方法についてもアドバイスをもらえます。手遅れになる前に、一度プロの目でチェックしてもらい、安心を手に入れましょう。

About The Author

UIARB合同会社社員IshikiKazuya

Recent Posted

検索
メニュー
FacebookでシェアTwitterでシェアPinterestでシェア
Non-AMP Mode