目次
マルウェアの概要
今回解析した plugin.php は、WordPressの標準ファイル名を装った 改ざん型マルウェア です。
正規のWordPressコアやプラグインのファイルに似せた名前を持ちますが、実際には外部からの不正なコマンド実行やファイル操作を可能にするバックドアとして機能していました。
特徴
plugin.phpという正規っぽい名称で設置され、管理者が見落としやすい。- 難読化されたコードで本来の挙動を隠蔽。
- 攻撃者が送るパラメータを解釈し、任意コードを実行可能。
- サーバー設定やデータベース情報にアクセスできる仕組みを含む。
無毒化したコードの一部をサンプルで表記
<?php
if (isset($_POST['cmd'])) {
$c = $_POST['cmd'];
// 実際は危険な system($c) が実行される
echo "[コマンド要求: " . htmlspecialchars($c) . "]";
}
?>
感染ファイルの完全可読化ログ
以下は可読化後の構造(一部危険な処理はコメント化済み)。
<?php
@error_reporting(0);
@set_time_limit(0);
@session_start();
if (isset($_REQUEST['action'])) {
$act = $_REQUEST['action'];
if ($act === 'info') {
phpinfo(); // 環境情報を出力
}
elseif ($act === 'exec') {
$cmd = $_POST['cmd'] ?? '';
if ($cmd) {
// 実際には system($cmd) を実行
echo "[疑似実行: $cmd]";
}
}
elseif ($act === 'upload' && isset($_FILES['file'])) {
$dest = $_FILES['file']['name'];
// move_uploaded_file($_FILES['file']['tmp_name'], $dest);
echo "[アップロード受信: $dest]";
}
}
?>
危険性
- 正規ファイル名を悪用することで発見が遅れる可能性。
- 任意コード実行により、サーバーが完全に支配される恐れ。
- 不正なファイルアップロードによる 二次感染の拡大。
- SEOスパムや不正広告配信に悪用され、検索エンジンからの評価が大きく低下する危険。
実際の感染事例
wp-content/plugins/内にplugin.phpが設置され、Wordfenceによって不正ファイルと判定された。- 攻撃者がこのバックドアを利用し、サイト内に大量のスパムページを作成したケース。
- 管理者が気づかないまま被害が拡大し、サイトが一時閉鎖に追い込まれた事例も存在。
駆除と復旧の方法
- 不正ファイルの削除 –
plugin.phpを含む未知のファイルを削除。 - WordPress本体・プラグインを正規の最新版へ再インストール。
- データベースやwp-config.phpを調査し、不正コードの混入がないか確認。
- 管理者・FTPアカウントのパスワードを変更。
- セキュリティスキャンを実施し、残存する不正ファイルを検知。
- バックアップからの安全な復旧も検討。
再発防止のセキュリティ対策
- 不要なプラグイン・テーマを削除し、攻撃対象を減らす。
- WordPress・プラグイン・テーマを常に最新状態に維持。
- ログイン画面へのアクセス制限や二段階認証を導入。
- ファイル改ざん検知ツール(WP CerberやWordfence)を利用。
- 定期的なバックアップとリストアテストを実行。
まとめ:早期対応がSEOと信頼回復のカギ
plugin.php の改ざん型マルウェアは、正規ファイル名を装うことで発見が遅れがちです。
迅速な駆除と定期的なセキュリティ対策によって、サイトの安全性とビジネスの信頼を守りましょう。
著者情報
WordPressのセキュリティ復旧・運用支援を専門する CreativeStudio樂のエンジニアユニット によって執筆されております。
WordPressのマルウェア駆除、改ざん復旧、セキュリティ強化の豊富な実務経験に基づき、企業サイトやブログ運営者が安心してサイトを運営できるよう支援しています。