なかなか難しいWORDPRESSのマルウェア感染除去
2018/07/23
2019/12/23
タグ: WORDPRESS, ウィルス除去, マルウェア対策, 難しい
昨年からWORDPRESSで構築したマルウェア感染サイトのスクリーニング作業をやり始めたのだが約8割は簡単に除去できるが、残り2割は簡単にマルウェアを削除できなくて継続してチェックしながら、差し込まれたタイミングを検知して削除する作業を行なっています。その中でようやく最近この残り2割のマルウェアを消滅させることができた。
何故、進まないマルウェア感染チェック
WORDPREESSのマルウェア感染はまず、感染しているということを気付けていないケースがかなり多く存在する。どのような目的を持っているのか、それともクラッキング練習台としてやっているのか詳しくはわからないが、見た目実害が無いケースが多いからサイトオーナはやらなくても良いと思ってしまう。これがまず最初の難関。次に感染した事をグーグルブラウザが教えてくれたり、顧客が異変に気づき教えてくれて始めて知るパターンだろう。意外とサイト管理者は忙しすぎて自分のサイトを見ていないものだ。
感染して気づくマルウェアチェックの重要性、そして一度感染したサイトは簡単にマルウェアを完全に除去できていない。
実は一度マルウェア感染したWORDPRESSサイトは、何度もその後も感染してしまう確率が高いのである。理由はプラグインなどの感染チェックや総合セキュリティソフトでは、全てをチェックしきれなくて感染ファイルは残っているのだ。残っている感染ファイルが改竄やファイル挿入の種になっているなら何度でも感染する事だろう。
WORDPRESSセキュリティアップデート、最新版へバージョンアップしてもマルウェア感染が減少しない理由
WEBサイトとは、サーバの設置とコンテンツの設置、それぞれのコンフィギュレーション調整、運用で構成されている。WORDPRESSは最大限の努力と改善を行なっていると思います。しかし前述の通りWORDPRESSは所詮コンテンツシステムの部分だけであるため、他の部分で不適切な設定やインストールになっていたら結局のところ感染してしまいます。
マルウェア感染する理由
数年前に大規模なガンブラー系の感染による被害が出たことがあります。この時期にプロバイダー、ホスティング業者はかなり改善を行なってFTPやIPアドレス縛りの機能を導入しました。そのおかげで大分ガンブラーによる被害は減少したと思います。しかし全部なくなったわけではなくガンブラー亜種がパソコンにスパイウェアとして感染したり、ブラウザに感染してサイトを侵略するように手が込んだ仕組みが出てきています。そのほかシステムの脆弱性ソースバグを突いて仕掛けてくる攻撃は常にいつまでもあり続けるでしょう、また、5、6年前まで蔓延っていたupload系の不正コード差し込みは現在でも有効です。つまり適切なサーバ設定とWORDPRESS設置が行われて無ければ未だに有効な手法なのです。 サイトは必ずしも1つの業者ではなく、複数の業者、WEB担当者が入れ替わったりするため、伝達不足から生まれる処置不足から、セキュリティーホールの要因の半分が人の問題だったりします。経営者や担当の上司はそのことに気付くべきです。