WordPress テーマの悪意のあるコードをスキャンする方法 (プラス クリーニング ガイド)

WordPress テーマで悪意のあるコードのスキャンを実行したところ、感染していないことが判明したとします。

これは、クリーナーを探すのに何時間も費やす必要がないことを意味します。テーマをきれいにするために何百ドルも払う必要はありません。

これが理想的なシナリオです。しかし、残念ながら現実は違います。

現在直面している可能性のある 2 つのシナリオを次に示します。

• WordPress セキュリティ プラグインまたはホスティング プロバイダによって、サイトにインストールされているテーマが悪意のあるものとしてマークされています。
• マルウェアに感染している疑いのある新しいテーマをサイトにインストールしたいと考えています。

いずれにしても、テーマをスキャンして、実際にマルウェアに感染していることを確認します。 しかし、具体的にどのように行うのでしょうか?

心配しないで。

この記事の目標は、次のことを達成できるようにすることです:

• インストールされているかどうかに関係なく、テーマをスキャンします
• マルウェアに感染したテーマを駆除する
• 悪意のあるテーマからウェブサイトを保護する方法を説明します

過去 10 年間、ハッキングされたテーマの影響を受けた何十万もの Web サイトを支援してきました。以下にリストされている手順に従ってください。

TL;DR : アクティブな WordPress テーマをスキャンするには:

• インストール MalCare WordPress スキャナー あなたのウェブサイト
• そしてスキャンを実行

サイトにインストールされていないテーマをスキャンするには:

• する必要があります ステージング サイトを作成する
• ステージング サイトにテーマをインストールする
• そしてでテーマをスキャン MalCare マルウェア スキャナ

そもそもテーマが感染したのはなぜですか?

一言で言えば: WordPress テーマは、サイトにインストールされることを期待して感染します。感染したテーマにはバックドアがあり、ハッカーはこれを悪用してサイトにアクセスします。

明らかに、誰も自分のサイトに感染したテーマをインストールしたくありません.ほとんどの場合、サイト所有者は悪意のあるテーマを使用していることに気づいていません。

では、人々はどのようにしてマルウェアに感染したテーマにたどり着くのでしょうか?それは、使用しているテーマの種類と、それをどこから入手したかによって異なります。

1.信頼できないソースからのテーマの使用

WordPress リポジトリ以外にも、プレミアム テーマを無料で販売または配布している多くのサードパーティ ソースがあります。

これらのテーマは改ざんされ、マルウェアに感染しています。そのため、無料で配布されることが多いです。感染したテーマを WordPress サイトにインストールすると、ハッカーへの扉が開かれます。

2.無料テーマの使用

プレミアム テーマ ビルダーは、信頼と評判を維持する必要があります。彼らはより多くのビジネスを獲得しなければなりません。したがって、彼らが市場に投入するテーマは、厳格な品質管理を受けています。無料のテーマには、そのような品質管理が欠けています。

無料のテーマには脆弱性がつきものです。ハッカーはこれらの脆弱性を利用してサイトにアクセスします。

脆弱なテーマを介して Web サイトにアクセスすると、他のテーマやサイトにインストールされているプラ​​グインにバックドアを挿入します。

3.バンドルされたソリューションの使用

一部のテーマには、プラグインがバンドルされています。バンドルされたソリューションは物事を複雑にします。

たとえば、Slider Revolution プラグインを見てみましょう。人気の画像プラグインです。多くのテーマは、プラグインをパッケージの一部として提供していました。しかし、多くのサイト所有者は、このプラグインがテーマの一部であり、サイトでアクティブであることを知りませんでした.

Slider Revolution には重大な脆弱性がありましたが、アップデートによってすぐに修正されました。

サイトの所有者はプラグインを更新できませんでした。テーマの所有者だけが更新できました。これにより、テーマの所有者がプラグインを更新するまで、多くの WordPress サイトが脆弱なままでした。

テーマの感染は、ハッキングされたプラグインまたはホストの結果である可能性があります。

共有ホスティング プロバイダーは、同じサーバー上で何百もの Web サイトをホストしています。 1 つの Web サイトがハッキングされると、同じサーバー上の他の Web サイトもハッキングされる可能性があります。

理想的には、無料のテーマ、バンドルされたソリューション、および信頼できないリソースからのテーマの使用を避ける必要があります。ただし、それが不可能な場合は、サイトにインストールする前にテーマをスキャンできます。優れたスキャナーは、テーマ内に隠されているマルウェアや悪意のあるコードを検出できる必要があります。

WordPress テーマで悪意のあるコードやマルウェアを検出する方法

WordPress テーマ内の悪意のあるコードやマルウェアを検出する最速かつ効率的な方法は、テーマ認証チェッカー (TAC) プラグイン を使用することです MalCare WordPress スキャナーのように。プラグインはサイトのあらゆる場所に深く潜り込み、本物のコードに偽装されていても、悪意のあるコードの痕跡を見つけます。

MalCare を使用して、WordPress テーマがサイトにインストールされているかどうかのセキュリティ チェックを実行する方法を紹介します。

2 つのシナリオについて説明します。

<強い>1.インストール済みテーマのスキャン
<強い>2.インストール前のテーマのスキャン

注: どちらのシナリオでも、プラグイン スキャナーを使用してテーマをスキャンする方法を示します。ただし、テーマを手動でスキャンしたい場合は、このセクションにジャンプしてください。

すぐに手順に飛び込みましょう –

1.インストール済みテーマのスキャン

a.テーマがインストールされている WordPress Web サイトで MalCare Scanner にサインアップして有効にします。

b.次に、WordPress ダッシュボードで、メニューから MalCare オプションを選択します。

c.メール アドレスを入力して、[Secure Site Now] をクリックします。

d. MalCare は、テーマを含む Web サイト全体のスキャンを開始します。

サイトで感染が見つかった場合、MalCare は警告を発します。

MalCare 以外にも、サイトにインストールされているテーマをスキャンするために使用できるスキャナーがいくつかあります。それらは、Wordfence、Quttera Web Malware Scanner、BulletProof Security、Sucuri、iTheme Security などです。

2.インストール前のテーマのスキャン

Web サイトにテーマをインストールする前にテーマをスキャンする方法は 2 つあります –

<オール>

ステージング サイトを作成し、テーマをインストールして、プラグインでスキャンを実行する (信頼できる)

テーマをオンライン スキャナにアップロードする (信頼できない)

ほとんどの無料のオンライン スキャナーは信頼性に欠けます。ブラウザに表示されるコードを調べるように設計されています。ほとんどの場合、マルウェアは目に見えるものではありません。

MalCare のような専用のマルウェア スキャン プラグインだけが、悪意のあるコードを探すためにサイトに深く入り込みます。それでも、両方の方法を紹介します。

a.プラグインを使用してインストール前にテーマをスキャンする (信頼できる)

一言で言えば:

<オール>

最初に、ライブ サイトの正確なレプリカであるステージング サイトを作成する必要があります。

次に、ステージング サイトにテーマをインストールします。

セキュリティ プラグインを有効にしてスキャンを実行します。

手順に飛び込みましょう…

ステップ 1:ステージング サイトを作成する

a. Web サイトに BlogVault をダウンロードしてインストールします。

b. WordPress ダッシュボードから、BlogVault を選択します。次に、メール ID を挿入し、[ 開始] をクリックします。

c.次に、BlogVault からアカウントを作成するよう求められます。パスワードを入力するだけです。

d.次に、BlogVault ダッシュボードにサイトを追加するよう求められます。 [追加] をクリックするだけです。

e. BlogVault がサイトの完全なバックアップを開始します。プロセスが終了するまで待ちます。

f. BlogVault ダッシュボードで、[サイト] をクリックします。 次に、Web サイトを選択します。

g.次のページで、[ステージング] セクションまで下にスクロールし、[ステージングの追加]> [送信] を選択します。 BlogVault がステージング サイトの作成を開始します。

h.ステージング サイトの準備が整うと、ユーザー名とパスワードが提供されます。どこかにメモしていることを確認してください。次のステップで必要になります。

私。次のステップは、[ ステージング サイトにアクセス] をクリックしてステージング サイトを開くことです。

j.ステージング サイトが新しいタブで開くとすぐに、前の手順でメモしたユーザー名とパスワードを入力するよう求められます。ステージング サイトは、不正アクセスから保護するためにパスワードで保護されています。

k.これで、ステージング サイトにアクセスできるはずです。 URL の末尾に /wp-admin/ を追加するだけで、ログイン ページが開きます。

l.ライブ サイトへのアクセスに使用するのと同じ資格情報でステージング サイトにログインします。

ステップ 2:ステージング サイトにテーマをインストールする

ライブ サイトで行うのと同じ方法で、新しいステージング サイトにテーマをインストールします。 WordPress ダッシュボードを開き、 [外観]> [テーマ] に移動します。 そしてテーマをアップロードします。

ステップ 3:ステージング サイトに MalCare スキャナをインストールしてスキャンを実行する

前のセクションで、MalCare スキャナーの使用方法について説明しました。ここをクリックしてそのセクションにジャンプし、指示に注意深く従ってください。

> テーマを手動でスキャンする

あなたの多くは、Web サイトに新しいプラグインをインストールすることに消極的です。使用するプラグインが多いほど、それらの管理に費やす時間が長くなります。

その場合、テーマを手動でスキャンしてみませんか?

ここでは率直に説明します。

テーマを手動でスキャンすることは、マルウェアを検出する最も効率的な方法ではありません。ファイルが多すぎて、対象が多すぎます。すべての悪意のあるスクリプトを検出することはできません。

さらに、熟練した開発者でない場合、この方法は必ず失敗します。良いコードと悪いコードを見分けるのは困難です。

そうは言っても、試してみたいという方は、それを行うのに役立つ記事をご覧ください – 手動マルウェア スキャンを実行する方法?

テーマにマルウェア感染が見つかった場合は、すぐに駆除してください。待てば待つほど、感染は広がり、あなたのサイトにどのような損害を与えるか誰にもわかりません!

感染した WordPress テーマを駆除する方法

MalCare を使用して WordPress テーマのマルウェアをスキャンした場合は、それを使用してテーマをクリーンアップすることもできます。

1.インストール済みテーマのクリーニング

a. MalCare のダッシュボードを開き、Web サイトを選択します。

b.次のページには、セキュリティというセクションがあります。 [自動クリーニング] をクリックします MalCare がサイトのクリーニングを開始します。

MalCare がサイトをクリーンアップするのに数分しかかかりません。

メモ MalCare の Auto-Clean 機能はプレミアム サービスであるため、アップグレードするよう求められます。年間 99 ドルで、1 つの Web サイトを何度でもクリーニングできます。 の詳細情報 MalCare の価格 .

2.インストール前のテーマのクリーニング

Web サイトにインストールしようとしているテーマが感染している場合は、別のテーマを見つけて使用することをお勧めします。

インターネットからテーマをダウンロードした時点で、テーマはすでにマルウェアに感染していました。ベンダーは、後でサイトをハッキングできるように、意図的に悪意のあるテーマを売り込んでいる可能性があります。

彼らがマルウェア感染について何も知らない場合、彼らが販売または配布している製品の品質を信頼することはできません.

テーマをきれいにしてインストールしたとしても、サイトを危険にさらすことになります.テーマのコーディングが不十分な場合、ハッカーは脆弱性を簡単に見つけて、それを悪用してサイトにアクセスできます。

テーマを購入した場合は、払い戻しを依頼してください。

無料で入手した場合は、そのマーケットプレイスの製品を二度と使用しないでください。

WordPress リポジトリ、または Themeforest、ElegantThemes、MyThemeShop、AThemes などの一般的なマーケットプレイスやベンダーからテーマを入手してください。

> 感染したテーマを手動で駆除する

感染したテーマを手動で駆除するのは、経験豊富な開発者に任せるのが最善です。そうは言っても、10年以上の経験を持つWordPressのプロでさえ、コードの一部を削除することには消極的です.

eval、base64_decode、gzinflate などの一部の PHP 関数は、デフォルトでは悪意のあるものではありません。多くのプラグインは、これらの関数を使用して操作を実行します。正当なコードを削除すると、Web サイトが壊れます。

しかし、冒険したい場合は、このガイドの助けを借りてテーマをクリーンアップしてください – WordPress テーマのハッキングのクリーニング

途中であきらめた場合は、MalCare を使用してテーマをきれいにしてください。

WordPress サイトを運営している限り、感染したテーマからサイトを確実に保護する必要があります。実行できる基本的な手順がいくつかあります。しかし、その前に、感染したテーマをサイトにインストールした場合の影響を見てみましょう.

感染した WordPress テーマがサイトに与える影響

感染したテーマを WordPress Web サイトにインストールすると、壊滅的な結果につながる可能性があります。サイトに損害を与え、ビジネスと収益に悪影響を及ぼす可能性があります。

1.直接的な影響

ハッカーがサイトに感染すると、次のような悪意のある行為を実行します:

訪問者を盗む – ハッカーが行う最も一般的なことの 1 つは、Web サイトから他のサイトへの悪意のあるリダイレクトを展開することです。これらのサイトは通常、訪問者の個人データを盗むように設計されたフィッシング サイトです。また、偽造品を販売するアダルト サイトやオンライン ストアである可能性もあります。

データの盗用 – ハッカーは、ログイン資格情報、クレジット カードの支払い情報、または顧客の個人的な連絡先情報を盗む可能性があります。彼らはそのようなデータを販売したり、それを使用してより悪意のあるスキームを実行したりできます.

不要な広告の統合 – ハッカーは広告スペースを乗っ取り、独自の広告を表示します。ここでも、これらの広告によって訪問者が悪意のあるサイトやアダルト サイトなどに誘導される可能性があります。

2. SEOへの影響

遅いウェブサイト – 悪意のある行為を実行するために、ハッカーは Web サイトのリソースを使用します。これにより、サーバーに大きな負荷がかかり、サイトのパフォーマンスが低下し、速度が低下します。

SEO ランキングの低下 – Google の SERP (検索エンジンの結果ページ) のトップに立つのは簡単なことではありません。 SEOランクを上げるには、絶え間ない努力が必要です。ランキング要因の 1 つは、サイトの速度です。 Google がサイトの速度が遅いことを検出すると、ランキングが下がります。さらに、訪問者がリダイレクトされると、トラフィックも大幅に失われます。

Google ブラックリスト – 次に、Google や他の検索エンジンはサイトを定期的にクロールし、サイトでそのようなコードを検出すると、サイトをすぐにブラックリストに登録するか、Google アドワーズ アカウントを一時停止します。訪問者を保護するために、サイトが感染しているという警告を訪問者に表示します。詳細については、Google ブラックリストの削除に関するこのガイドをご覧ください。

3.ウェブホストの一時停止

ホスティング プロバイダーがサイトでマルウェアを検出すると、アカウントが一時停止され、サイトがオフラインになります。

これは、ハッカーが常にサーバー リソースを使用して悪意のあるアクティビティを実行するためです。サーバー リソースの制限に達するだけでなく、サーバーの速度とパフォーマンスにも影響します。共有サーバーを使用している場合、サイトが同じサーバー上の他のサイトのパフォーマンスを低下させる可能性があります。

多くのホストはマルウェアに対して非常に厳格なポリシーを持っており、ウェブサイトのハッキングのインスタンスが複数ある場合、プラットフォームからサイトを永久に禁止する場合があります.

4.ブランドイメージと評判

言うまでもなく、訪問者があなたのサイトでハッカーにだまされたりだまされたりすると、彼らはあなたのブランドに対する信頼を失います.多くの訪問者があなたの Web サイトに戻ってこない可能性があります。

したがって、WordPress サイトでは信頼できるテーマのみを使用することが非常に重要です。それでは、WordPress テーマをスキャンして悪意のあるコードを探し、安全に使用できることを確認しましょう。

マルウェア感染からテーマを保護する方法

テーマをクリーンアップしたので、テーマが二度と感染しないようにする必要があります。必要なことは次のとおりです。

1.信頼できるソースからのテーマのみを使用する

テーマを選択するときは、信頼できるソースのみを使用してください。これらには、WordPress テーマ リポジトリ、テーマ フォレスト、Mojo テーマ、クリエイティブ テーマ、ThemeSnap、WP Eden、InkTheme、DMartify、AppThemes などが含まれます。

これらのマーケットプレイスは、開発者をプラットフォームで許可する前に精査します。また、開発者が遵守する必要がある厳格なガイドラインとポリシーもあります。

マルウェアが挿入される可能性があるため、海賊版や無効化されたテーマの使用は避けてください。プレミアム プラグインは少し高すぎる場合があります。しかし、良いニュースは、無料で利用できるテーマがたくさんあることです。

2.インストール前に必ずテーマをスキャン

信頼できるソースからテーマをダウンロードするかどうかにかかわらず、Web サイトにインストールする前にテーマをスキャンすることをお勧めします。 VirusTotal などの自動化されたオンライン ツールを使用して、数秒以内にファイルをスキャンするのは簡単です。安全に使用できることを確認したら、WordPress サイトにインストールしてください。

3.テーマ エディタを無効にする

前述したように、テーマ エディターには WordPress ダッシュボードからアクセスできます。ハッカーがサイトに侵入した場合、最初に攻撃するのは、ダッシュボードから直接 WordPress ファイルにアクセスできるテーマ エディターです。彼らはこのエディターを使用して、サイトへの秘密のアクセスを可能にするバックドアを作成できます。この機能が不要な場合は、無効にすることを強くお勧めします。これには 2 つの方法があります:

• MalCare セキュリティ プラグインの使用
  • MalCare ダッシュボードにアクセスしてサイトをクリックするだけです。
  • 次に、[セキュリティ] に移動し、[WordPress Hardening] を選択します。
  • ここで、ファイル エディタを無効にすることができます。これをクリックすると、WordPress ダッシュボードのテーマとプラグイン エディターを無効にすることができます。
    
• wp-config.php ファイルを手動で編集
  • この方法はリスクが高く、ほんの少しのミスでサイトが破損する可能性があります。 サイトを完全にバックアップすることをお勧めします この方法に進む前に。
  • ウェブ ホスティング アカウントにアクセスします cPanel に移動します .ここで、[ファイル マネージャ]> [Public_html] を選択します。
  • 次に、wp-config ファイルを探します。 右クリックして、「編集」 を選択します。
  • 「それだけです。編集をやめてください!」という行の直前に次のコードを貼り付けます。幸せな出版」:

define( 'DISALLOW_FILE_EDIT', true );

WordPress ダッシュボードでテーマ エディターが無効になります。

WP-Config ファイルを使用した WordPress サイトの保護に関する完全なガイドを確認してください。

4.非アクティブなテーマを削除

WordPress サイトの所有者がさまざまなテーマをインストールして試すことはよくあることです。しかし、使用していないテーマを削除するのを忘れがちです。

Web サイトのすべての要素は、非アクティブなテーマを含め、ハッカーがサイトに侵入する別の機会を与えます。そのため、使用しているテーマのみを保持し、残りを削除することをお勧めします.

これらの手順を実行すると、WordPress テーマが安全であることが保証されます。

次は?

上記のすべての WordPress テーマのセキュリティ チェックに従えば、テーマが悪意のある感染から保護されると確信しています。

とはいえ、テーマを保護するだけでは、Web サイトをハッキング攻撃から保護することはできません。

さまざまな面で Web サイトを保護する必要があります。それを行うのに役立つ記事をまとめました。WordPress セキュリティに関するこのガイドをチェックしてください。

このガイドは、いくつかのセキュリティ対策を講じるのに役立ちます。必須のものもあれば、あるとよいものもあります。

必要な最も重要なセキュリティ対策の 1 つは、MalCare のような WordPress セキュリティ プラグインをインストールすることです。

サイトと着信トラフィックの間にファイアウォールを配置します.ログイン ページをブルート フォース攻撃から保護します。 MalCare はサイトを毎日スキャンし、サイトがハッキングされた場合に即座にクリーンアップするのに役立ちます.また、ハッキング攻撃からサイトを保護するためにサイトの強化対策を講じることもできます.

インストール MalCare セキュリティ サービス 今すぐ!