先日、Wordpress、JoomlaなどいくつかのCMSでWebサイトからのレスポンス内に不正なコードが閲覧者のアクセス毎に動的に挿入される改ざんが確認されました。
改ざんの標的となるCMS内のPHPファイル(2016-02-25) www.security-next.com影響内容
この不正なPHPコードは、外部から取得したコードを挿入する機能を持っており、特定のURLから不正なコードを受け取り、特定の位置に挿入します。
これが閲覧者のブラウザ上で実行されると、閲覧者を攻撃サイトに誘導するiframe等のタグが生成されます。閲覧者のWebブラウザやプラグイン等に脆弱性が存在した場合には、閲覧者のPCがランサムウエア等のマルウエアに感染してしまう可能性があります。
チェック方法
レンタルサーバーなどでターミナル接続出来ない場合は確認できません。VPSなどターミナル接続できる場合はWordpressインストールディレクトリまで移動して以下コマンドを実行します。
[admin@*****]$ cd /wordpres/ [admin@*****]$ find ./ -type f -name "*.php" -print | xargs grep 'istart'この結果で何も出てこなければ影響ないです。 もし引っかかった場合は削除もしくは問題の無いファイルに差し替えることをオススメします。 なお上記コマンドは、実行したディレクトリ以下で.phpファイルのなかでistartが含むファイルを出力(print)するもので istartは今回の改ざんされたプログラムに含まれる文字列です。 改ざんの標的となるCMS内のPHPファイル(2016-02-25)
被害を最小限に留める為には
基本的な対策となりますが、WordPress本体やプラグインは最新版にしておき不要なプラグインなどは削除しましょう。最後に
< p class="has-st-margin-bottom has-st-margin-bottom-2">WordPressは広く使われているCMSです。便利なプラグインや情報も豊富な反面、攻撃の標的になる可能性も高いです。そういう私も以前ある有名な画像系のプラグインで不正なプログラムを挿入されGoogleから警告されたことがありました
閲覧者に被害が無くてもサイトを停止せざるおえない状況になると大きな損失になりますのでアップデートなどはこまめにやりましょう。
自分でやるのはちょっと怖いという方は引っ越し屋さんにおまかせするのが安心です
