WP-CleansongsというWordperssを使用したサイトに感染するマルウェアが確認されております。
このマルウェアはWordpressのサイトを改ざんし、サイトに訪問したユーザーを以下のような悪意のあるサイトへと誘導します。
正常なサイトに訪れたはずが、左記のようなサイトに誘導されます。
左記の例は1例であり実際は様々な悪意のあるサイトへ誘導されます。
また、必ず誘導が発生するわけではなく特にサイトを複数回訪れている人には誘導が発生しないので、サイトの管理者の方などは気づかない可能性があります。下記に記載の「感染方法の確認」等を参照ください。
貴社のサイトへ訪れたお客様に被害を与えないために、必ずのご確認をおすすめします。
また、このマルウェアのメカニズム的に任意の悪意のある動作を行うことが可能となっており、今後さらなる深刻な現象に変化するものと思われます。
感染条件
WordPressに「Lightspeed」というプラグインが入っており、バージョン5.7以前の場合に感染の可能性があります。
Lightspeedはロリポップサーバーなどをご使用の方は自分でいれたつもりがなくとも、デフォルトで設定されている可能性があるので注意です。
感染の確認方法
WordPressの管理者画面上で「プラグイン」から上記Lightspeedのバージョン確認に加え
「ユーザー」から見覚えのないユーザがいないかを確認します。以下のようなユーザ「wpsupp-user」等が追加されている可能性があります。
予防方法
Lightspeedを最新バージョン6.1にバージョンアップをしてください。ただし既に感染してしまっている場合には、あわせて以下の対処が必要になります。
対処方法
対処方法については2024年3月現在では管理画面上での対処や修正ツールは確認されておらず、ソース修正を行う必要があります。
具体的には
1. wp-content/pluginsフォルダ内のwp-cleansongフォルダを削除
2. githubからお使いのwordpressのバージョンと同じファイルをダウンロードし、お使いのwordpressとの差分を取り、差分を発見したらロールバックを行う。
2.の手順で具体的な修正ファイル名を申し上げられないのはマルウェアの挙動が変化する可能性があるからです。
マルウェアの技術的なメカニズムは弊社担当者が記載した以下記事を参照ください。
https://qiita.com/hokutoh/items/3e7753253626a2d9dcb4
上記の通り、wordpressのソース修正が必要となるので慣れておられないサイト管理者の方にはハードルが高いかと思います。弊社にご相談頂くことでお手伝いできる場合もございますので、お困りの際はお問い合わせをお願い致します。
コメント