Sucuriはこのほど、「Malicious Script Injection on WordPress Sites」において、「Hello Elementor」テーマを使用中のWordPressサイトを標的とするJavaScriptベースのマルウェアを発見したと伝えた。

このマルウェアはテーマの「header.php」ファイルに挿入され、サイト所有者と訪問者に有害な結果をもたらすという。

  • Malicious Script Injection on WordPress Sites

    Malicious Script Injection on WordPress Sites

マルウェアの概要

マルウェアに感染したWordPressサイトのheader.phpファイルからは、悪意のある外部スクリプトを読み込む次のコードが確認されている。

  • <script src="https://spadeanalytica[.]com/s/analytics.js"></script>
  • <script src="https://spadeanalytica[.]com/t/stat.js"></script>

また、スクリプトの配布ドメインは上記以外にも次の2つが発見されている。

  • uph-analytics[.]com
  • awebstats[.]com

マルウェアの機能は次のとおり。

  • セッションデータを含むCookie情報を窃取する
  • 広告ネットワークやスパムサイトにリダイレクトする

影響と対策

本稿執筆時点において、すでに245のWordPressサイトの侵害が確認されている。このマルウェアに感染した状態を放置すると、検索エンジンのブラックリストに登録される可能性がある。そのような事態を避けるため、感染が疑われる場合は次の対策を実施することが推奨されている。

  • header.phpから手動で悪意のあるコードを削除する
  • WordPressサイトのすべてのソフトウェア(テーマ、プラグインを含む)を最新の状態に更新する
  • セキュリティソリューションや「Website Security Checker | Malware Scan | Sucuri SiteCheck」を使用して、Webサイトを定期的に検査する
  • WordPressの設定(wp-config.php)に「define('DISALLOW_FILE_EDIT', true)」を追加して、ファイルの編集を禁止する
  • WordPressの認証に多要素認証(MFA: Multi-Factor Authentication)を導入する。また、パスワードに一意で強力なものを使用する

WordPressサイトを改ざんした手法については明らかになっていない。一般的にはプラグインの脆弱性、ブルートフォース攻撃などによる不正アクセスとされる。このような侵害を防止するため、WordPressサイトの管理者には「セキュリティ – サポートフォーラム – WordPress.org 日本語」を閲覧して適切に設定および運用することが推奨される。

なお、Webサイトの改ざんが確認された場合、バックドアを設置されている可能性がある。上記の対策と同時に、データベースを含めたWebサイト全体を検査して安全を確認することが望まれている。