【悲報】WordPressサイトが改ざんされました。wp-load.phpとheader.phpに怪しい記述が・・・

急にサイトが危険判定！

運営するウェブサイトにアクセスしたところ、いつもとは違うことが起こりました。

！！！？

PCに入っていたセキュリティソフトによってサイトへのアクセスが遮断されたのです。

セキュリティソフトによってブラウザ上に表示された警告ページによると、危険なウェブサイトにアクセスしようとしているといった感じのメッセージが表示されていました。

なぜ・・・？

当然ですが、危険なウェブサイトと判定されてしまうようなことをした心当たりはありません。

何かも間違いだと思いつつも、念のため色々とサイトをチェックしてみると、不審な点が見つかりました。
どうやら、何者かによってサイトが改ざんされていたようだったのです。

※本件は当サイトで起こったことではありません。当サイトにおいては改ざんの形跡は見当たりませんでした。

改ざんされていたこと

サイトの各所をチェックしたところ、大きく次の3点の改ざんが行われていました。

ちなみに、改ざんの被害を受けたサイトはWordPressで作られています。

ファイルの書き換え

直近では更新していないにもかかわらず、更新日が新しくなっていたファイルをいくつか発見しました。

更新日が変わっていたファイルは以下の通り。

.htaccess
wp-load.php
wp_content/themes/テーマディレクトリ/header.php

WordPressの.htaccessには、冒頭に「# BEGIN WordPress」末尾に「# END WordPress」という記述があります。
私のサイトの.htaccessにもその記述はあったはずなのですが、ファイルの中身をチェックしてみると記述がなくなっていました。

wp-load.phpには何やら怪しいプログラムが追記されていました。
通常はファイル冒頭はコメントになっているのですが、そのコメントよりも前に不自然な追記がされていたのです。

ちなみに、参考までに追記の冒頭の一部を紹介すると「error_reporting(0);function a_($c_=32)」から始まっていました。

header.phpは、各テーマ（themes）の中のファイルです。
header.php内にjavascriptのプログラムが追記されていました。
追記されていたのは、javascript記述の際に必要なscriptタグから始まり、「var _0x5059=」から始まるスクリプトです。

header.phpの改ざん箇所はwp-load.phpのようにファイルの冒頭ではありませんでした。
私の場合は、改ざん箇所が他の行の記述とは明らかに異なる雰囲気であったため、おかしい記述が追記されたことにすぐに気が付きました。
ちなみに、閉じのheadタグの直前に追記されていました。

なお、header.phpについては、有効になっていないテーマのheader.phpについても同様の改ざんが行われていました。

また、「header.php.bak」のように末尾にバックアップを示す記述や日付の記述を付けたファイルも、すべて同じように書き換えられていました（同じディレクトリに設置していた場合）。
おそらく、前方一致検索でファイルを機械的に抽出して、ヒットしたファイル名のものを一律に書き換えたのでしょう。

update-core.phpの削除

いつの間にかなくなっていたファイルがありました。

該当ファイルは、wp_admin/update-core.php。

上記はWordpress管理画面の「更新」ページのファイルです。
「更新」ページは、プラグインやテーマの更新案内が表示され、更新の実行を行うことができる画面ですね。

この「更新」ページのファイルがなくなっていたので、「更新」ページにアクセスしようとしてもNot Foundの画面に遷移してしまうようになっていたのです。

パーミッション変更

ファイルのパーミッション（権限）が変更されていたファイルもありました。

wp_admin/themes.php
wp_admin/theme-install.php
wp_admin/network/themes.php
wp_admin/network/theme-install.php

上記4ファイルのパーミッションが644というかなり緩い設定に変更されていました。

これらのファイルのパーミッションが変更されたことによって、Wordpress管理画面の「外観」⇒「テーマ」の画面が表示されない状態になっていたのです。

元に戻して危険なウェブサイト判定を回避

書き換えられたファイルについては、改ざん前の状態ファイルを再アップロード。
そうしたところ、セキュリティソフトによってサイトアクセスが遮断されなくなりました。

wp-load.phpやheader.phpに追記されたプログラムが、危険なウェブサイトと判定された原因だったようです。

削除されていたupdate-core.phpは再アップロード。
wp_admin内に設置しなおすことで、「更新」画面へアクセスできるようになりました。

パーミッションが変更されていた4ファイルは、パーミッションを604に変更。
パーミッションを変更したところ、「外観」⇒「テーマ」画面を表示できるようになりました。

起こったことまとめ

今回、私の運営するウェブサイトで起こった改ざん事件についてまとめます。

改ざんの目的は「不正なプログラムの埋め込み」でしょう。

wp-load.phpやheader.phpを書き換えて、私のサイトに不正なプログラム仕込んだものと思われます。

埋め込まれたプログラムが具体的にどのような挙動を行うものであったのかは、セキュリティソフトが遮断してくれたため確認していません。
ただ、サイトにプログラムを埋め込むこと自体が悪意のある行動だと思いますので、きっとよからぬことが起こっていたでしょう。

ファイルの削除やパーミッションの変更は、Wordpress管理画面の「更新」や「テーマ」を使えないようにするためだと思います。
「更新」や「テーマ」画面では、Wordpressのバージョンアップやテーマの更新・変更が行えます。

更新や変更を実行されてしまうと、改ざんファイルが更新され、埋め込んだ不正なプログラムが消えてしまう。
なので、「更新」や「テーマ」画面を使えないようにして、Wordpressやテーマの更新や変更をできないようにしたのでしょう。

それにしても、だれが何の目的でこんな改ざんを実行したのでしょう。
サイトをもとの状態に戻すために、本来なら不要だった手間や時間をかけることになってしまったのは非常に残念です。

本記事が同様のサイト改ざん被害に遭われた方の役に立てばと思います。