Sucuriは1月23日(米国時間)、「Malware Redirects WordPress Traffic to Harmful Sites」において、侵害されたWordPressサイトから訪問者を有害サイトにリダイレクトするマルウェアを発見したと報じた。

すでに9つのWebサイトからマルウェアが検出されており、注意を呼びかけている。

  • Malware Redirects WordPress Traffic to Harmful Sites

    Malware Redirects WordPress Traffic to Harmful Sites

テーマに注入されたマルウェアの詳細

Sucuriは侵害されたWebサイト管理者からの支援要請を受け、マルウェアを発見・分析している。マルウェアはテーマの「functions.php」ファイルから発見され、次の機能があることが確認された。

  • 同一セッション内でコードが繰り返し実行されないようにし、セキュリティソリューションの検出を回避する
  • WordPressにログインしているユーザーには実行しない。これは管理者の目を欺くためとみられる
  • ユーザーエージェントの情報を元にクローラーを検出してブロックする
  • 特定のURLパターン(/wp-login.phpや/wp-jsonなど)をブロックする
  • 訪問者を有害サイト(hxxps://cdn1[.]massearchtraffic[.]top/sockets)へリダイレクトするスクリプトを注入する

対策

WordPressサイトを管理しているユーザーは、ログインせずに自身のWebサイトにアクセスし、リダイレクトされるか確認することが推奨されている。覚えのないリダイレクトが発生した場合はWebサイトが広範囲に渡り侵害されている可能性がある。その場合は、専門家またはセキュリティ企業に相談することが推奨されている。

Sucuriは同様の攻撃を回避するため、WordPressを運用している管理者に次の対策の実施を推奨した。

  • WordPress本体、プラグイン、テーマを定期的に最新バージョンに更新する
  • PHPコードを独自に修正した場合は、コードの監査を実施する
  • すべてのアカウントに一意で強力なパスワードを設定する。また、可能であれば多要素認証(MFA: Multi-Factor Authentication)を導入してアカウントを保護する
  • Webアプリケーションファイアウォール(WAF: Web Application Firewall)を導入する

今回発見されたマルウェアは訪問者をリダイレクトさせるだけで、直接攻撃を実行することはない。しかしながら、将来的にマルウェアを配布するなどの攻撃を行う可能性があり、侵害を確認した場合は速やかに対策することが推奨される。