「あなたのホームページを開いたら、怪しいポップアップ広告が出てきた」
「あなたのホームページを訪れたら、いきなり違うホームページに誘導された!」
という報告を、ホームページの訪問者から報告を受けたら、あなたのホームページは、かなりの確率で、ハッキングされています。
実は、私も同じような症状に出くわしました。このマルウェアの駆除の仕方を調べると、やたら難しいことが書かれていることが多く、なんか、業者とかにお金を出して頼まないと、直らないのかなぁと思ってしまう方も多いかと思います。
確かに、マルウェアに感染した場合、データが置かれていたサーバーの領域を初期化して、使っていたデータを全て入れ替えるべきですが、とりあえず、手っ取り早く感染したファイルを取り除けばいい、という需要もあるかと思います。
ここでは、その応急処置的な、感染ファイルを取り除くだけの方法を紹介します。
[su_alert type=”warning”]これからやる手順であなたのサイトが壊れる可能性もありますので、自己責任でお願いします。[/su_alert]
症状が確認できないし、ウィルスも検出されない?
まず、私がやったことは、症状を再現して、原因を特定しようとしました。
しかしながら、なぜか、自分で自分のサイトにアクセスしても、友人が教えてくれたような症状は出ませんでした。
そこで、今度はインターネット上には、無料でウェブサイトがウィルスに感染していないかを調べてくれる無料サービスや、ウィルスを調べる無料プラグインとかがあるので、そこで、いろいろと調べてみました。
しかし、そうしたオンラインの無料のウィルス検査サイトや、プラグインで調べても、異常なし、という結果が出てきました。
もしかしたら、友達のスマホがウィルスに感染しているだけではないのか?と疑いましたが、友達が言うには、パソコンでも同じ症状が出るというんで、おそらくサイトがウィルスに感染しているか、マルウェアでハッキングされていることは、間違いないでしょう。
そこで、何としてでも突き止めようと、さらにいろいろと試してみました。
プラグイン Wordfence でようやく怪しいファイルを発見
なかなか、原因を特定できず困っていたのですが、セキュリティのプラグイン、Wordfence をインストールして、スキャンをすることで、ようやく怪しいファイルを見つけることができました。
3百万人以上にダウンロードされてインストールされているし、評価もかなり高いので安心して使えます。
![ワードプレスがマルウェアやウィルスにハッキングされた時の応急処置方法 6 ワードプレスサイトがマルウェアやウィルスにハッキングされた時の対処法](https://shikumix.com/wp-content/uploads/2020/07/e383afe383bce38389e38397e383ace382b9e382b5e382a4e38388e3818ce3839ee383abe382a6e382a7e382a2e38284e382a6e382a3e383abe382b9e381abe3838f.png)
![ワードプレスがマルウェアやウィルスにハッキングされた時の応急処置方法 6 ワードプレスサイトがマルウェアやウィルスにハッキングされた時の対処法](https://shikumix.com/wp-content/uploads/2020/07/e383afe383bce38389e38397e383ace382b9e382b5e382a4e38388e3818ce3839ee383abe382a6e382a7e382a2e38284e382a6e382a3e383abe382b9e381abe3838f.png)
プラグインの公式ダウンロード先はこちら →Wordfence Security – Firewall & Malware Scan 🔗
Wordfence でマルウェアやウイルスを見つける方法
Wordfence をインストールすると、初期画面では、規約への同意や、メールアドレスの記入を求められます。
メールアドレスを記入すると、そのアドレスにお知らせなどが届くようになるため、それが嫌な人は、適当なメールアドレスを入れても大丈夫です。
さて、Wordfence が使えるようになったら、管理画面に、Wordfence のメニューが追加されるので、そこから、「SCAN」を選択します。
![ワードプレスがマルウェアやウィルスにハッキングされた時の応急処置方法 7 ワードプレスサイトがマルウェアやウィルスにハッキングされた時の対処法 1](https://shikumix.com/wp-content/uploads/2020/07/e383afe383bce38389e38397e383ace382b9e382b5e382a4e38388e3818ce3839ee383abe382a6e382a7e382a2e38284e382a6e382a3e383abe382b9e381abe3838f-2.png)
![ワードプレスがマルウェアやウィルスにハッキングされた時の応急処置方法 7 ワードプレスサイトがマルウェアやウィルスにハッキングされた時の対処法 1](https://shikumix.com/wp-content/uploads/2020/07/e383afe383bce38389e38397e383ace382b9e382b5e382a4e38388e3818ce3839ee383abe382a6e382a7e382a2e38284e382a6e382a3e383abe382b9e381abe3838f-2.png)
すると、Wordfence のスキャン設定画面が出てきますので、その中の START SCAN をクリックすると、マルウェアに感染されたファイルを探すスキャンが開始されます。
![ワードプレスがマルウェアやウィルスにハッキングされた時の応急処置方法 8 ワードプレスサイトがマルウェアやウィルスにハッキングされた時の対処法 2](https://shikumix.com/wp-content/uploads/2020/07/e383afe383bce38389e38397e383ace382b9e382b5e382a4e38388e3818ce3839ee383abe382a6e382a7e382a2e38284e382a6e382a3e383abe382b9e381abe3838f-3.png)
![ワードプレスがマルウェアやウィルスにハッキングされた時の応急処置方法 8 ワードプレスサイトがマルウェアやウィルスにハッキングされた時の対処法 2](https://shikumix.com/wp-content/uploads/2020/07/e383afe383bce38389e38397e383ace382b9e382b5e382a4e38388e3818ce3839ee383abe382a6e382a7e382a2e38284e382a6e382a3e383abe382b9e381abe3838f-3.png)
ついにマルウェアが仕込まれたファイルを発見?
しばらくスキャンをしていると、スキャン結果に、怪しいファイルがあると、リストアップされます。
左の縦棒が赤いものは危険なファイルで、黄色いものは注意すべきファイルです。私の場合、三つ危険なファイルが見つかりました。
ちなみに黄色いものは、プラグインで、アップデートが必要なものですよ、ということをお知らせしてくれるものでした。
![ワードプレスがマルウェアやウィルスにハッキングされた時の応急処置方法 9 ワードプレスサイトがマルウェアやウィルスにハッキングされた時の対処法 3](https://shikumix.com/wp-content/uploads/2020/07/e383afe383bce38389e38397e383ace382b9e382b5e382a4e38388e3818ce3839ee383abe382a6e382a7e382a2e38284e382a6e382a3e383abe382b9e381abe3838f-4.png)
![ワードプレスがマルウェアやウィルスにハッキングされた時の応急処置方法 9 ワードプレスサイトがマルウェアやウィルスにハッキングされた時の対処法 3](https://shikumix.com/wp-content/uploads/2020/07/e383afe383bce38389e38397e383ace382b9e382b5e382a4e38388e3818ce3839ee383abe382a6e382a7e382a2e38284e382a6e382a3e383abe382b9e381abe3838f-4.png)
黄色の、アップデートしなければいけない、というのは理解できると思いますが、赤の警告に関しては、どうすればいいのでしょうか?
マルウェアに感染しているんであろうから、削除してしまえばいいのでしょうけども、しかし、重要なファイルだったとしたら、サイト全体が動かなくなってしまう可能性もあります。
というのも、マルウェアやウィルスは、バレないように、重要なファイルの中に仕込まれることが多いからです。
削除していいファイルかどうかを判断する方法
重要なファイルを削除してしまわないように、削除してもいいファイルかどうかを知るために、赤棒になった項目の右端にある「Detail」をクリックします。すると、警告がでたファイルに関しての詳細を見ることができます。
![ワードプレスがマルウェアやウィルスにハッキングされた時の応急処置方法 10 ワードプレスサイトがマルウェアやウィルスにハッキングされた時の対処法 4](https://shikumix.com/wp-content/uploads/2020/07/e383afe383bce38389e38397e383ace382b9e382b5e382a4e38388e3818ce3839ee383abe382a6e382a7e382a2e38284e382a6e382a3e383abe382b9e381abe3838f-5.png)
![ワードプレスがマルウェアやウィルスにハッキングされた時の応急処置方法 10 ワードプレスサイトがマルウェアやウィルスにハッキングされた時の対処法 4](https://shikumix.com/wp-content/uploads/2020/07/e383afe383bce38389e38397e383ace382b9e382b5e382a4e38388e3818ce3839ee383abe382a6e382a7e382a2e38284e382a6e382a3e383abe382b9e381abe3838f-5.png)
詳細をよく読んで、削除しても大丈夫そうであれば、DELETE FILE をクリックして削除します。
でも、削除しても大丈夫か、大丈夫でないかを、どうやって判断すればいいのでしょうか?
基本的には、theme フォルダの下か、plugin フォルダの下にあるファイルであれば、万が一、削除してサイトにエラーが出てきても、その theme ファイルや plugin をアップロードすることで、すぐに戻すことができます。
しかし、それ以外のファイルの場合、削除すると、サイト全体が動かなくなる危険性があります。その場合は、そのファイル名を、ネットで検索してみます。
たとえば、上記の場合、怪しいファイルは、
”wp-content/plugins/ccode.php” ですので、”ccode.php”というファイルは、削除しても大丈夫なものかを調べてみます。
すると、英語のサイトですが、これがマルウェアを仕組む際によく使われるプログラムだというのが確認できます。削除した、という人もいます。
とくに削除してはいけない、みたいな情報はみあたりません。
であれば、削除しても大丈夫、「であろう」という、ことで削除してもいいであろう、という予想ができます。
ファイルを削除してしまう前にバックアップ!
もうお決まりですが、削除する前に、かならずバックアップしましょう。
バックアップのやり方については次を参照してください
→ 🔗仕組みの理解で応用もきく!ワードプレスのバックアップのをプラグインなしで簡単にやる方法
バックアップをしたら、えいや!とそのファイルを削除します。
おそらく、この段階で、とりあえずの変なポップアップ広告は止まるかとおもいます。
しかし、運が悪いと次のような症状が起こるかもしれません
- 画面の上にたくさんの文字が表示されるようになった
- 画面が白くなってしまった
- critical erro という表示が出て、アクセス不能になる
上記の場合でも、
ほかにもマルウェアがしこまれるファイルとして、次のようなファイルがあります。
- wp-feed.php
- wp-vcd.php
- wp-tmp.php
- class.wp.php