2017/08/24 2019/12/23
このnav-menu.phpを書き換える攻撃は国内では昨年くらいから多く報告されIPAにも多数報告があるものです。私自身も幾つかのお客様で確認したことがある攻撃です。
この攻撃コードは幾つものパターンがあり、例えばフォーム処理の内容を攻撃者へ転送したり、直接サイトをブックマークでアクセスする分には、正常に思った通りのサイトへアクセスできるのですがグーグルやヤフーの検索エンジンからクリックして飛ぶと全く他のサイトへ転送されるというものです。
index.phpの内部で呼び出されている間接ファイル(wp-load.php,wp-blog-header.phpのあたり)が改ざんされているケースが多いです。また合わせて.htaccessファイルも書き換えられているケースが有りました。
この攻撃への対策は基本は管理画面を固定IPで縛ると殆どは安全です。でもスパイウェアを仕掛けられたら絶対とは言えません。一番良いのはある程度重要なWORDPRESSファイルをroot権限でreadonlyにしておくことをお勧めします。WORDPRESSのアップデート時には自動アップデートの障害になりますが安全を考えるなら良いと思います。
もしやり方がわからない場合は、別途弊社までご相談ください。
ご自分で対策される方はこちらの記事を参考にしてください。かなり対策のヒントになると思います。WORDPRESSマルウェア対策について
WORDPRESSのプラグインで予防を常に行って起きましょう。 「iThemes Security」「SiteGuard」のあたりがお薦めです。管理画面のプラグイン新規追加で導入しましょう。
