WordPressサイトを運営していて、ある日突然、以下のような症状が起こった場合、ハッキングによるファイル改ざん(マルウエア・ウイルス感染)の疑いがあります。
- 自分のサイトにアクセスしたらスパム広告のポップアップが表示された
- リダイレクト(強制移転)して海外のエロサイトに移動した
感染したファイルをすぐに特定できれば良いですが、WordPressのシステムファイルは4,000近くあるので、すぐに特定するのは難しいです。
このような時、ファイル改ざんを検知できるプラグインを使うことで、システムファイルをスキャンして、ウイルスに感染したファイルを特定することができます。
この記事では、ファイル改ざんを検知・駆除できるプラグイン「wpdoctor」をご紹介します。
好きなところから読めます
ハッキングによるファイル改ざんを検知・駆除するプラグインwpdoctor
「wpdoctor(ワードプレスドクター)」は、ハッキングによるファイル改ざんを検知・駆除する事ができる国産のプラグインです。
wpdoctorを使うと、WordPressのシステムファイルはもちろん、プラグインファイル、アップロードフォルダなど、サーバーにアップしている全てのファイルをスキャンしてくれので安心です。
また、ファイル改ざんを検知・駆除するほか、感染したファイルがハッカーによる不正なコードの埋め込みかどうかまで判定できる、非常に優れたプラグインです。
wpdoctorの特徴
wpdoctorの特徴は次のとおりです。
- ファイル改ざん検知・駆除
- 検出箇所のハイライト機能(不正なコードの部分がハイライト表示されます)
- セキュリティ機能(WordPressのセキュリティを強化できます)
- IPログ機能(直近1カ月のログイン時のIPが保存されます)
- IPブロック機能(怪しいログインがあればIPをブロックできます)
- 脆弱性検査(WordPress本体とプラグインの脆弱性を診断できます)
- ハッキングを行っているハッカーIPマップ(有料機能:ワードプレスドクターが日々検出している世界中のハッカーのIPを丸ごとブロックできます)
- サイト改ざんリアルタイムブロック(有料機能)
ハッキングによるファイル改ざんを検知・駆除するプラグインwpdoctorでウイルスを駆除する手順
ハッキングによるファイル改ざんを検知・駆除するプラグインwpdoctorでウイルスを駆除する手順を解説します。
- 手順①:wpdoctorのダウンロード
- 手順②:wpdoctorのインストール
- 手順③:ウイルスチェックを行う
- 手順④:感染したファイルを駆除する
- 手順⑤:ファイルの中身を確認しながら削除する
上記のとおりです。
手順①:wpdoctorのダウンロード
「wpdoctor」は株式会社BLUE GARAGE様が提供しているプラグインです。
ちなみに、「wpdoctor」はWordPressの管理画面からインストールできませんので、株式会社 BLUE GARAGE様が運営されている「ワードプレスドクター」のサイトからプラグインファイルをダウンロードします。
以下のリンクをクリックすると、プラグインを配布しているページに移動します。
参考リンク:【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
サイト中ほどに「プラグインのダウンロード」というボタンがありますので、ここをクリックすると、「wpdoctor」のファイルをダウンロードできます。
「wpinfecscan.zip」というzip形式のファイルをダウンロードしますので、デスクトップに保存して下さい。
手順②:wpdoctorのインストール
ダウンロードしたファイルをWordPressにインストールします。
ダッシュボード>プラグイン>新規追加 を選択すると、プラグインの追加画面が表示されますので、「プラグインのアップロード」をクリックして下さい。
先程ダウンロードしたファイルをドラッグします。
アップロードファイルを指定したら、「今すぐインストール」をクリックします。
プラグインをインストールしたら「プラグインを有効化」して、プラグインのインストールは完了です。
手順③:ウイルスチェックを行う
プラグインをインストールしたら、ウイルスチェックを行います。
ダッシュボード > Malware scan を選択して下さい。
ワードプレスドクターの画面が表示されますので、「今すぐスキャン開始」をクリックします。
早速、いくつか検出されました。
全部で13ファイル検出されました。
これらのファイルは全てウイルスが仕込まれています。
とりあえずさっさと駆除しましょう。
手順④:感染したファイルを駆除する
感染したファイルを全て削除したいところではありますが、WordPressのシステムファイルが含まれているため、全て削除してしまうとWordPressサイトが動かなくなってしまいます。
そのため、ファイルを削除する際は、細心の注意を払って削除しましょう。
削除しても良いファイルとダメなファイルは次のとおりです。
- 削除してもOKなファイル:「vyumfazql.php」や「fbmm3nq.php」のような意味の無い名称のPHPファイルや、「0b7de882.ico」といったicoファイル
- 削除したらNGなファイル:WordPressのシステムファイル「index.php」、「wp-config.php」、「wp-settings.php」などなど
判断がつき難い方は、いきなり削除せず、ファイルを表示して中身を確認してみましょう。
検出ファイルされたファイルを表示してファイルの中身を確認
検出されたファイルの右側に「表示・編集」という項目がありますので、表示をクリックします。
ウイルスの該当箇所が以下のようにハイライト表示されます。
WordPressのシステムファイルやプラグインファイルに拡張子が「.ico」というファイル存在しませんので、消しても問題無いファイルです。
「ファイルの削除」ボタンを押して削除しましょう。
最終確認が表示されますが、「OK」を押して削除します。
これでウイルスを駆除できました。
同じように、拡張子が「.ico」のファイルを削除しましょう。
手順⑤:ファイルの中身を確認しながら削除する
「感染したファイルを駆除する」で解説しましたが、「vyumfazql.php」や「fbmm3nq.php」等といった意味の無い英数字が羅列されたファイル名のPHPファイルは、間違いなくウイルスファイルなので、特に中身を確認せずに削除しても問題ありません。
とはいえ、慣れないうちは一応、表示ボタンを押して中を確認してから削除するようにしましょう。
ちなみに以下のファイルは削除してもOKです。
システムファイル・プラグインファイルが汚染されていたら駆除は慎重に
WordPressのシステムファイルやプラグインファイルが汚染されていた場合、ファイルを削除してしまうとWordPressやプラグインが動かなくなります。
ですので、ファイルを削除するのではなく、ファイルを改ざんされた部分を削除する必要があります。
システムファイルに含まれたウイルスを削除
試しに、WordPressのシステムファイル「wp-config.php」に含まれたウイルス削除してみます。 まずは表示をクリックします。
「wp-config.php」ファイルの中身が表示されますが、以下赤枠内は不正なコードを仕込まれてしまった箇所です。
必要無いので削除しましょう。
削除すると以下のようになります。
削除したコードの上下に、訳の分からない半角英数字が残ってしまいましたが、これはウイルスの目印みたいなものなので、残しても意味ありません。
こちらも削除しましょう。
全て削除したら「編集結果の保存」をクリックします。
以上で無事、ウイルスを駆除する事ができました。
同じ要領で他のファイルも削除しましょう。
システムファイルに含まれたウイルスの削除例2
もう一つ、違うファイルを削除してみましょう。
検出されたファイルの右側にある「表示」をクリックします。
案の定、汚染されてますね。
ハイライトされている部分を削除します。
ハイライト部分をドラッグして全て削除したいところではありますが、削除する際は以下の点に気を付けて下さい。
「<?php」以降の部分を削除してしまうと、サイトやプラグインが動かなくなりますので、「<?php」の前だけを削除するようにしましょう。
下図でいうと、黄色い部分だけを削除して下さい。
削除すると以下のようになります。
「<?php」で始まっていることが確認できたら「編集結果の保存」をクリックします。
以上で汚染されたファイルの駆除は完了です。
まとめ
以上、ハッキングによるファイル改ざんを検知・駆除するプラグイン「wpdoctor」を使ってウイルスを駆除する方法を解説しました。
おわり。
