HAMAHAMAさん

とりあえず、ご提示いただいた.htaccessについて。

私一人で抱えているのもどうかと思いますので、ある程度開示をしたいと思っています。

今回拝見した、.htaccessには、大きく分けると、以下の5つの記載がありました。

1. サーバーのセキュリティ機能が、追記したと思われるもの
2. セキュリティ系プラグインが、追記したと思われるもの
   （おそらく、「Anti-Malware Security and Brute-Force Firewall」）
3. Cocoonで、ブラウザキャッシュを有効にした際に、追記したもの
4. WordPress自身が追記したもの
5. Wordfenceが追記したもの

 
1については、サーバー独自でしょうから、あまり公開はしない方が良いのかなと思っています。
（ただ、2をコメント化しても、今回の事象が発生するようでしたら、こちら側が引っ掛かっているのだと思います）

2については、プラグインを導入すれば、誰でも確認ができると思います。
そのため、ここに公開したいと思っていますが、HAMAHAMAさんにご了承をいただいてからにしようと思います。

該当箇所の追記は、おそらく「Anti-Malware Security and Brute-Force Firewall」がしているのではないかと思います。
しかし、私のローカル環境で確認をしたのですが、残念ながら追記されませんでしたので、分からないというのが正直なところです。

なお、この2について、今回HAMAHAMAさんに、コメント化をお願いしたところです。

3については、Cocoonのブラウザキャッシュですので、ここは特に無関係だと思いますし、スルーで良いと思います。

4については、WordPressが追記したもので、今回のものとは無関係ですので、スルーします。

5については、Wordfenceが追記していて、「.user.ini」系のファイルへのアクセスをブロックしているものでした。
（LiteSpeed用の設定もありますが、それはスルーします）

そのため、5についても、特に問題ないと思いますし、スルーで良いと思っています。

上記、ご確認いただければと思います。
（とりあえず、今回公開したいのは、2の部分。）

先にも書きましたが、「access.php」を直接ブロックするようなものは、ないと思います。

そのため、他の部分に誤検知で引っ掛かったのだとは思うのですが。
でも、一見すると、1や2のどちらにも、引っ掛からないのではないかと思うのですよね。

その辺りは、ちょっと実際の環境で確認してみないと分からないという印象です。

今回の箇所について、コメント化が難しいようでしたら、それぞれの機能を無効化にして、試しても良いのかもしれません。
ただ、どの機能か確証が持てないところがあり、コメント化の方が直接的で、ハッキリするかと思いました。

そして、恐れ入ります。
これから、週末・来週へと、私はフォーラム対応にとれる時間が少なくなってくると思います。
そのため、上記のような感じで、共有できるものは共有したいという思いでおります。
（お忙しいのだと思われ、思いの外日々進まないということもあり、可能な限り共有しておきたいです）

更に追記です。
状況を整理する意味でも、書いておきます。
 

今回の事象ですが。

access.phpに直接アクセスをすると、以下のように画面に表示されました。

Forbidden
You don't permission to access this resource.

今更ですが、改めて確認してみると、パーミッション？

但し、エラーログには、以下のようにある状態。

client denied by server configuration

少し思うのは。
パーミッションが原因の場合は、ログは、以下のようになるのではないかと。

Permission denied: access to /wp-content/themes/cocoon-master/lib/analytics/access.php denied

とりあえず。
上記で分かるのは、WordPressより前、Webサーバー（ApacheやNGINX）の段階で、ブロックされているのではないということかと。

ただ、少し思ったのは。

今回、実際に事象を発生させた画面の表示のものと。
エラーログが、同じ事象を指しているのか、分からないということです。
（ログは、画像を貼りつけていただいて、そのログの時間は7時台だったと思いますので、時間は違うのかも。でもaccess.phpではありました）

そこで、お願いです。

access.phpやCocoonのテーマディレクトリのパーミッションも、確認しておいてください。
パーミッションだった場合、これ以上.htaccessを調べても、意味がなくなってしまいます。

パーミッションの確認は、直ぐにできると思います。
（パーミッションでないことがハッキリすれば、それそれで収穫ですので）

これらは、外部からは分かりませんし、こちらで手を動かすこともできませんので。

宜しくお願い致します。

とりあえず、先に書いた1と2の部分。

投稿者:: @mk2_mk2

↑

1. サーバーのセキュリティ機能が、追記したと思われるもの
2. セキュリティ系プラグインが、追記したと思われるもの
   （おそらく、「Anti-Malware Security and Brute-Force Firewall」）

こちらを、私のローカル環境の.htaccessに書いてました。
（WordPressが追記したもの以外はない、綺麗な状態ですし）

コメントスパム用と思われる1箇所のみ、ドメインをローカル環境にあわせて修正はしました。
それ以外は、そのままです。

その結果、特に問題なく、access.phpにもアクセスできるようです。
（添付は、投稿ページを表示させて、該当リソースの読み込みを確認したものです）

更に、以下までローカル環境の.htaccessに書いてみました。

投稿者:: @mk2_mk2

↑

1. サーバーのセキュリティ機能が、追記したと思われるもの
2. セキュリティ系プラグインが、追記したと思われるもの
   （おそらく、「Anti-Malware Security and Brute-Force Firewall」）
3. Cocoonで、ブラウザキャッシュを有効にした際に、追記したもの

私のローカル環境では、問題はなかったです。

WordPressが追記したものは、自前のもののままです。

Wordfenceのものは、シンプルなもので、これは原因ではないと思います。

そうは言え。
やはり、環境は同じようで、同じではありませんから。
実際の環境で、確認してみないと分からないのですよね。
（それが難しいようですので、プロにお願いしてみてはと、ご提案致しました。ご自分で時間がとれるのであれば、不要かとは思います）

本件ですが、状況を整理し、まずは、サーバー窓口の問合せてみてはいかがでしょうか。

一応書いておきます。

もしかすると、「SiteGuard Lite」（WAF）の可能性もあるかなと、少し思い始めています。

※「SiteGuard Lite」は、プラグインではありません。
　  サーバー側で動作するホスト型WAFです。
　　（少し、.htaccessに痕跡があるような。プラグインの方なのか私には区別がつかないですが）

先にも書きましたけれど。

投稿者:: @mk2_mk2

↑

（個人的に思うのは、.htaccessだけでなく、プラグインのON/OFF、サーバー側のセキュリティ機能のON/OFFでの状態も確認してみても良いのではないかと思ったりもします。この辺は外部からは全く見えませんので）

以前、WAFをOFFにした際に、Cocoon設定の保存を試しています。
これは、Cocoon設定にscript入力があり、ブロックされる際には、有効な確認方法だと思います。

今回は、そうではありませんから。
WAFをオフにして、投稿ページにアクセスしてみるべきではないかと思います。
（もし、確認済でしたら、ご放念ください）

それと、WAFのログを確認してみるというのも、1つの方法です。
（意図的に今回の事象を発生させてから確認する。WAFでブロックされた場合、ConoHaはWAF専用のログが落ちます）

まだ確認できることはある、まずはどこでブロックされるのかを確認する。
そうしないと、対処方法も分からない。
そうは思っています。
（コメント化のところも、まだですし。単に確認が進んでいないという状況だと思っています）

もちろん、サーバー側にお問い合わせして、対応してくれるなら、それもありです。

返信がまったく止まってしまいましたので。
何らかのご連絡いただけますと、とても助かるところです。
（こちらで勝手に空回っているだけですけれど。サーバー側に依頼した、他の方に依頼したでも良いと思います）
 

ここまで、たくさん書いてすみません。
私はフォーラム対応に時間を取れなくなってくると思います。
そのため、時間のある内に書いておきたかったということで、ご容赦いただければと思います。
（まったく顔を出せない訳ではないと思いますが、時間は減っていくと思います。そのためタイミングは益々あわないと思います）

@mk2_mk2さま

申し訳ないです。

体調悪く、療養しておりました。

的確アドバイス毎回ありがとうございます。

一つ一つ解説していくしかないものなんですね。

明日からはミスをしないように作業をして参ります。

何かあればここに報告いたします。

よろしくお願いします。

HAMAHAMAさん

お大事に。

現状、まだエラーが出ていますね。

• 何かあれば、まとめて書いていただくと助かります
  （1日1～2回くらいしか返信できないと思います）
• 期間について、そんなに長い期間は対応できないと思います
  できれば2～3日程度、長くても1週間未満くらいかと

HAMAHAMAさん

少し思いましたので、書かせていただきます。

今のように、時間がとれなかったり、途切れ途切れだったりするのは、よろしくないように思います。
双方にとって。

まとまった時間が確保できる時に、出直しなさっては？
もしくは、サーバーにお問い合わせなり、プロに頼むなり、なさっては？

これだけ長い間、カウントされない状況でも、実質放置されている状況に思えます。
そんなに急ぎでもないように思えました。

作業するにしても、ある程度腰を落ち着けないと難しいように感じます。
（特に理解が浅い場合）

@mk2_mk2さま

年末に向けてご多忙の中、日々ご返信くださり誠にありがとうございます。さらに、皆さまへの共有や、解決に向けたご助言を何度も頂戴し、心より感謝申し上げます。

ご指摘の通り、私の知識では内容が難しく、一度しっかりと時間を確保して腰を据えて作業を行う必要がございます。もしお時間のご都合がつくようでしたら、本日23時まで、または明日17時から22時の間でサポートいただくことは可能でしょうか。

何卒よろしくお願い申し上げます。

.htaccessの133～171行目が、以下のような感じかと思います。

#BADQUERY_BLOCK_START
（中略）
#BADQUERY_BLOCK_END

ここの先頭（1文字目）に、「#」（半角の#）を追加して、コメント化（無効化）してみてもらえますか。

〇上記の指摘のコメント化を行いましたが、カウントしませんでした。

〇ConoHaサーバーに問い合わせしましたが、個々のワードプレス設定に関しては対応できないとの解答でした。

〇ConoHaの管理画面のWAFをオフにして、未ログインでサイトへ訪れてもカウントせず。WAFのログのスクリーンショットを貼ります。

〇ConoHaサーバーの.htaccessも無効化はされてますが、カウントされません。こちらもスクリーンショットを貼ります。

お手間を掛けて申し訳ありません。何かあれば御指南くださいませ。

連続で申し訳ありません。どツボにハマってます。

ご指摘頂いた２番のプラグインとのこのプラグインでしょうか？

現在無効化してあります。

HAMAHAMAさん

恐れ入りますが、私はまとまった時間をとることは、しばらく難しいです。

たまに、フォーラムをのぞく程度しかできないです。

ご自分で、まずは確認できるようになっていくしかないと思います。
ご自分で、順を追って、確認ポイントを少しずつ、確認していく必要があろうかと思います。

そのためには、まずは今回のエラーを確認できるようになっておくべきかと思います。

確認には、各ブラウザに標準で備わっている「デベロッパーツール」というものを使用します。

Chromeをご利用でしたら、PF12等で起動できます。
「デベロッパーツール 使い方」等で検索すれば、解説サイトも見つかると思います。

PV数がカウントされないことと同時に、
cocoon-master/lib/analytics/access.php が403エラーになっていることを、確認できるようになってください。

上記を覚えていただければ、あとは順序立てて、何が原因かを探っていくことになると思います。

ちなみに、403エラーは、以下のように「Console」部分に表示されます。
（以下はEdgeのものですので、Chromeとは微妙に違いますが、ほぼ同じです）

mk2_mk2さま

この度はご丁寧なご説明と貴重なアドバイスを賜り、誠にありがとうございます。
また、お忙しい中で詳細にご対応くださいましたこと、心より感謝申し上げます。

ご指摘いただきましたとおり、まずは自分自身でエラー内容を確認できるよう、
デベロッパーツールの利用方法を含め、一つひとつ理解を深めたいと思います。

本日は22時過ぎまで、集中して作業できる時間を確保いたしましたので、
ご助言いただいた手順に沿って、403エラーの有無やPVカウントの状況について、
順を追って検証していく予定です。

進捗がございましたら、改めてフォーラムにてご報告させていただきます。
今後ともどうぞよろしくお願い申し上げます。

mk2_mk2 さま

お世話になっております。
ご指導いただきましたとおり、グーグルクロームのデベロッパーツールを使用して確認を行いましたところ、
「Console」タブ内にて cocoon-master/lib/analytics/access.php が 403 エラーとなっていることを確認いたしました。

ひとまずエラーの状況を自分自身でも把握することができました。
引き続き、いただいたアドバイスをもとに原因の切り分けを進めてまいります。

今後ともよろしくお願い申し上げます。ありがとうございます。

mk2_mk2 さま

サーバーのWAFをオフにして、プラグインのすべて無効化しましたが、エラー表示は変わりませんでした。

ConoHaサーバーに添付ファイルのセキュリティ設定がありました。ここの設定の可能性はありますか？

HAMAHAMAさん

同一IPアドレスからの連続アクセスは、カウントされません。
そのため、デベロッパーツールでエラーの確認をすることは大事です。

確認できるようになって良かったです。

とりあえず、セキュリティ系・高速化系の機能は、全無効化して、確認してみると良いと思います。

• サーバーの機能（WAF･WEXAL･その他セキュリティ系含め）
• テーマは、親テーマに切り替え
• プラグインも、全無効化

 
上記の状態で、エラーが出るようであれば。

• access.phpに直接アクセスすると、画面にはどんなメッセージが表示されるか。
  （Consoleのエラーメッセージから、リンクを取得して、それにアクセス）
• .htaccessには、どんな記述が残っているのか
  （機能をオフにしても、残るものがあると思います）

上記のようなことが確認できればと思います。
 

先の、全無効化でエラーにならない場合は。
OFFにした何かが原因。

全無効化でも、エラーになるのであれば、それ以外に何か原因があるということかと思います。

上記のようなことが確認できましたら、サーバーのセキュリティ系の機能はONに戻しておいてください。
長い間OFFにすることは、好ましくないと思いますので。

mk2_mk2 さま

なるほど、ご丁寧なご説明をいただき、誠にありがとうございます。
同一 IP アドレスからの連続アクセスがカウントされない点についても、改めて理解ができました。
また、デベロッパーツールでエラーを確認できるようになったことについて、お言葉を頂き励みになりました。

ご助言いただきましたとおり、
まずは サーバー側のセキュリティ機能・テーマ・プラグインをすべて無効化した状態で、
403エラーが発生するかどうかを確認してみたいと思います。

そのうえで、順を追って確認し、原因の切り分けを進める予定です。

もし「全無効化」でエラーが出ない場合は、
OFF にしたいずれかの機能が影響している可能性があるとのこと、理解いたしました。
逆に、全無効化でもエラーが出る場合は、別の要因を疑う必要がある点も承知いたしました。

なお、セキュリティ関連の機能につきましては、
確実に戻すようにいたします。

引き続き検証を進め、気になる点があれば再度ご助言頂きたく思います。
今後ともどうぞよろしくお願い致します。

mk2_mk2 さま

お忙しい中、度々申し訳ありません。

WAFやプラグインのお話とは全く別かもしれませんが、「wp-content」フォルダの中に少し気になる（変な？）ファイルがありました。

詳しくは分からないですが、添付ファイルの丸印の部分になります。

https://ittrip.xyz/apache/apache-htaccess-security-risk

上記が参考の記事になります。

ファイルの内容は下記になります。

<FilesMatch '.(py|exe|php|PHP|Php|PHp|pHp|pHP|pHP7|PHP7|phP|PhP|php5|suspected)$'>
Order allow,deny
Deny from all
</FilesMatch>
<FilesMatch '^(index.php|inputs.php|adminfuns.php|chtmlfuns.php|cjfuns.php|classsmtps.php|classfuns.php|comfunctions.php|comdofuns.php|connects.php|copypaths.php|delpaths.php|doiconvs.php|epinyins.php|filefuns.php|gdftps.php|hinfofuns.php|hplfuns.php|memberfuns.php|moddofuns.php|onclickfuns.php|phpzipincs.php|qfunctions.php|qinfofuns.php|schallfuns.php|tempfuns.php|userfuns.php|siteheads.php|termps.php|txets.php|thoms.php|postnews.php|wp-blog-header.php|wp-config-sample.php|wp-links-opml.php|wp-login.php|wp-settings.php|wp-trackback.php|wp-activate.php|wp-comments-post.php|wp-cron.php|wp-load.php|wp-mail.php|wp-signup.php|xmlrpc.php|edit-form-advanced.php|link-parse-opml.php|ms-sites.php|options-writing.php|themes.php|admin-ajax.php|edit-form-comment.php|link.php|ms-themes.php|plugin-editor.php|admin-footer.php|edit-link-form.php|load-scripts.php|ms-upgrade-network.php|admin-functions.php|edit.php|load-styles.php|ms-users.php|plugins.php|admin-header.php|edit-tag-form.php|media-new.php|my-sites.php|post-new.php|admin.php|edit-tags.php|media.php|nav-menus.php|post.php|admin-post.php|export.php|media-upload.php|network.php|press-this.php|upload.php|async-upload.php|menu-header.php|options-discussion.php|privacy.php|user-edit.php|menu.php|options-general.php|profile.php|user-new.php|moderation.php|options-head.php|revision.php|users.php|custom-background.php|ms-admin.php|options-media.php|setup-config.php|widgets.php|custom-header.php|ms-delete-site.php|options-permalink.php|term.php|customize.php|link-add.php|ms-edit.php|options.php|edit-comments.php|link-manager.php|ms-options.php|options-reading.php|system_log.php)$'>
Order allow,deny
Allow from all
</FilesMatch>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . index.php [L]
</IfModule>

よろしくお願いいたします。

HAMAHAMAさん

怪しくはないのですけれど。
（これ、マルウェアの特徴を捉えていて、それらをブロックしていると思います。サーバーセキュリティか何か？）

これは、どのディレクトリにありますか。
これが原因の可能性が高いとは思います。

.htaccessは、Webサーバー(Apache)の設定ファイルです。
ディレクトリ毎に、設定できますので、あちこちにあっても、不思議ではないです。

【追記】

投稿者:: @hamahama

↑

「wp-content」フォルダの中

ここですね。

.htaccessって、下位ディレクトリにも継承されるんでしたっけ・・・。

試しに、他のphpファイルへアクセスしてみますと。

HAMAHAMAさん

ご提示の.htaccessについては、バックアップを取っておいてください。

その上で、以下を追記して欲しいです。

<Files "access.php">
Order allow,deny
Allow from all
</Files>

場所は、8行目（</FilesMatch>）と9行目（<IfModule mod_rewrite.c>）の間に追記します。

.htaccessは、アクセスの度に読み込むのですけれど。
サーバー系のキャッシュが有効だと、キャッシュが保持されて、過去のものが適用される場合もあるので注意が必要なのですけれど。
（その場合は、キャッシュをクリアするか無効化、できなければキャッシュが新しくなるのを待つか・・・）

上記を追加してみて、エラーが解消するかは、確認して欲しいです。

mk2_mk2 さま

考察とご返信ありがとうございます。

ちょっといまやってみます。

すぐ連絡いたします。

連続で申し訳ありません。

まだ完全にチェックは終わっておりませんが、恐らくカウントが開始されました！

mk2_mk2 さま

エラーが解消されました！ありがとうございます。

もしお時間があれば、色々お伺いしたいです。このファイルは改ざんされたファイルであって根本的原因なのでしょうか？そうしますとサーバー全体にマルウエアが感染してる可能性もあるということでしょうか？

よろしくお願いいたします。

HAMAHAMAさん

投稿者:: @hamahama

↑

このファイルは改ざんされたファイルであって根本的原因なのでしょうか？

このファイルというのは、「wp-content」ディレクトリの.htaccessのことでしょうか。

これは、何かのセキュリティ機能が追加したものかと思いますよ。
（それが何かは、ちょっと分かりませんので、気になるようなら、調べてください）

この.htaccessには、マルウェアの特徴があるファイルをブロックするための記述があります。
（とても簡素ですが、幅広くブロックしているようです。少し古い印象はありますが）

マルウェアをブロックするために、何らかのセキュリティ機能が追加しているものと思われます。
マルウェアではなく、むしろセキュリティ機能ですよ。

これが、phpファイル全般へのアクセスをブロックしています。
そのため、とりあえず「access.php」だけは許可するように、穴をあけて試していただきました。
（通常、ブラウザからphpファイルへはアクセスしないでしょうから、問題ないのですが、今回のアクセス集計までブロックされたということかと）

ただ、マルウェアが「access.php」という名前だと、ブロックできませんけれど・・・。
（themesディレクトリだけでなく、wp-content配下のディレクトリすべてで許可しています）

ご説明ありがとうございます。
「wp-content」ディレクトリ内の .htaccessについて、セキュリティ機能による追加の可能性が高いとのこと。

とても安心いたしました。改ざんされたものではなく、むしろマルウェア対策としての設定であるという点も、大変参考になりました。

PHP ファイル全般へのアクセスがブロックされていたこと、そして今回の集計用に「access.php」だけ例外として許可をいただいた件についても理解できました。

原因が分からず不安でしたので、詳細にご説明いただけて助かりました。

途中レスポンスが悪くなったりとご迷惑を大変お掛けしました。

HAMAHAMAさん

とりあえずアクセス集計できるようになって良かったです。

少し思うというのか、他の方法の方が良いかなと思うのですけれど。

ちょっと今、スマホからなのと。

こちらでも確認したいことがありますので、あとで追記させていただきます。

夜遅くなると思いますので、明日にでも、ご確認いただければと。

mk2_mk2 さま

はい、おかげ様でアクセス集計ができるようになって安心しました。

何かアドバイスや提案やダメ出しなど、思の丈があるようであれば追記をお願い致します。むしろ今後の勉強になるので教えて頂きたいです。

PC環境が整ってないので、明日の朝にスマホにて確認致します。

よろしくお願いいたします。

HAMAHAMAさん

今回修正した、「wp-content」ディレクトリの.htaccessは、一旦元に戻していただいた方が良いと思います。
（バックアップから戻すか、なければ今回の追記箇所を削除する）

理由は。

何がこの.htaccessを追加したのかは、分からないのですけれど。
もしかして、何かのきっかけで、このルールがアップデートされることが、あるかもしれないと思いました。
（ないかもしれませんけれど）

もし、アップデートがかかると、今回追記したものが、消えてしまう可能性もあります。
（忘れた頃にアップデートがかかると、結構面倒ですので）

そのため、今回の追記した箇所が、あまりよろしくないかと思いました。

そこで。

「wp-content/themes」ディレクトリに、.htaccessが存在するか確認してください。

①.htaccessが存在しない場合

.htaccessを新規作成して、「wp-content/themes」ディレクトリに保存してください。
（「cocoon-master」「cocoon-child-master」ディレクトリには保存しないでください）

記述は、今回提示したものだけにしてください。

以下のことですね。

投稿者:: @mk2_mk2

↑

<Files "access.php">
Order allow,deny
Allow from all
</Files>

②.htaccessが存在する場合

これに、追記してください。
（順番は大事ですので、何が書かれているかの確認は必要ですけれど）

上記のようにすれば、消えることはなくなるのではないかと思います。

上記対応後に、access.phpのアクセスが問題ないことを、確認できればOKかと思います。
（エラーが無い、カウントアップされる）

mk2_mk2 さま

いつもご丁寧なご説明をありがとうございます。
後日.htaccess がアップデートで上書きされる可能性についてもご指摘いただき、とても参考になりました。

ご提案いただいた対応案ですが、今回は①の『新規で .htaccess を作成して wp-content/themes に配置する』方法を採用し、すでに作業を完了いたしました。
「cocoon-master」「cocoon-child-master」には配置せず、themes ディレクトリ直下に新規作成した .htaccess を設置し、ご提示いただいた記述のみを反映しております。

その後、access.php へのアクセスについてもエラーの有無とカウントアップを確認し、問題なく動作していることを確認できました。

今回もお忙しい中アドバイスをいただき、誠にありがとうございました。
引き続きどうぞよろしくお願いいたします。

HAMAHAMAさん

上手くいったようで、良かったです。

それでは、このトピックは「解決済」とさせていただきますね。
（既に「解決済」にしてありますので、ボタンは押さないでください）

HAMAHAMAさん

ふと思いましたけれど。

ある日から、アクセス集計がカウントされなくなったということは。

今回問題の wp-contentの.htaccess は、途中から追加されたと推測されます。

それが、何かの機能を導入したとか、何かの機能をONにしたとか、そういう時期と重ならないでしょうか。

もし、そういうことであれば、その機能が追加したと推測はできると思うのですよね。

HAMAHAMAさん

申し訳ないです。
訂正します。

投稿者:: @mk2_mk2

↑

これは、何かのセキュリティ機能が追加したものかと思いますよ。

一見、セキュリティ機能が追加したように見えます。
しかし、1つ1つを良く見ると・・・。
そういう風に思わせるように、偽装されている可能性を感じます。

あからさまに追加すると直ぐにばれますので。
正常のものの中に、不審なものを紛れ込ませて、簡単に分からないようにしているのではないか・・・と。
つまり、偽装されているように感じます。

少し調べて欲しいことがあります。

• wp-contentディレクトリ配下には、どんなファイルがありますか
  （不審なファイルを植え付けられていないか）
• wp-contentディレクトリのindex.phpの中身は、どんなものですか
  （改ざんされていないか）

以下をインストールなさっているようですので、スキャンの設定を細かく（高感度？）スキャンできるようにして、スキャンしてみてください
（時間が掛かるかもしれません）

投稿者:: @hamahama

↑

Wordfence Security 8.1.0

HAMAHAMAさん

追加です。

投稿者:: @mk2_mk2

↑

• wp-contentディレクトリ配下には、どんなファイルがありますか
  （不審なファイルを植え付けられていないか）
• wp-contentディレクトリのindex.phpの中身は、どんなものですか
  （改ざんされていないか）

上記に加えて「wp-content/uploads」ディレクトリにも、不審なファイルがないか確認してみてください。

やはり、まずはセキュリティプラグインでSCANした方が良いですね。

投稿者:: @mk2_mk2

↑

以下をインストールなさっているようですので、スキャンの設定を細かく（高感度？）スキャンできるようにして、スキャンしてみてください
（時間が掛かるかもしれません）

投稿者:: @hamahama

↑

Wordfence Security 8.1.0

mk2_mk2 さま

追加で今回も詳しいご助言をいただき、誠にありがとうございます。
アクセス集計が急にカウントされなくなったタイミングと、wp-content 内の .htaccess 追加の時期については、確かに関連性が疑われる点がありますね。
正常なファイルに偽装して不審なものを紛れ込ませる可能性についてもご指摘いただき、非常に参考になりました。

ご提示いただいた確認事項について、順番に対応を進めております。

wp-content 配下のファイルの確認（不審なファイルの有無）

wp-content/index.php の内容確認（改ざんの可能性）

wp-content/uploads ディレクトリのチェック（不審なファイルの混入確認）

また、Wordfence Security についても、設定を細かく調整し、高感度でのフルスキャンを実施しを行います。
スキャン結果についても、完了次第ご報告いたします。

今回も丁寧なアドバイスを本当にありがとうございました。今後ともよろしくお願いいたします。

〇wp-contentディレクトリのindex.phpの中身は
<?php
// Silence is golden.

でした。

〇wp-contentディレクトリ配下には、どんなファイルがありますか

HAMAHAMAさん

スマホからなもので、ちょっと入力が厳しいですが。

投稿者:: @hamahama

↑

〇Wordfence Securityの高感度・精密にてスキャンを実行してみますね！

はい、まずはこれですね。

投稿者:: @hamahama

↑

〇wp-contentディレクトリのindex.phpの中身は
<?php
// Silence is golden.

これは、問題ないですね。デフォルトの状態だと思います。

投稿者:: @hamahama

↑

〇wp-content/uploads ディレクトリのチェックの確認をしました、なかなかのボリュームです。これを１つ１つチェックすることが解決への近道ですか？

とりあえず「2025」とか「2024」に、画像以外のファイルがないかですね。

例えば、拡張子が.phpとか.jsとかのファイルがあると、怪しいです。

プラグインやテーマが作るディレクトリにまでは、偽装したりはしていないと思うのですよね。

HAMAHAMAさん

以下添付は、私の本番サイトのアクセスログです。
（2024年2月と、少し前のものですが）

• アクセス元は、同一IPアドレスにも関わらず
• ユーザーエージェントを、複数のものに変えながら（偽装しながら）
• ごくわずかな時間帯に、大量に

アクセスしていることが、お分かりいただけるかと思います。

そして、アクセスしているものは、実際にはWordPress等には存在しないファイルです。

つまり、植え付けたであろう、マルウェアを探しているものと思われます。
誰かがマルウェアを植え付けていれば、それに便乗して自分も攻撃できる。
それを探しているのだと思います。

そして、黄色く塗った部分に注目して欲しいのです。
（本当は、もっとあるのですが、とりあえずこれくらい確認できれば十分だろうということで、塗りました）

HAMAHAMAさんに、ご提示いただいた以下ですけれど。

<FilesMatch '.(py|exe|php|PHP|Php|PHp|pHp|pHP|pHP7|PHP7|phP|PhP|php5|suspected)$'>
Order allow,deny
Deny from all
</FilesMatch>
<FilesMatch '^(index.php|inputs.php|adminfuns.php|chtmlfuns.php|cjfuns.php|classsmtps.php|classfuns.php|comfunctions.php|comdofuns.php|connects.php|copypaths.php|delpaths.php|doiconvs.php|epinyins.php|filefuns.php|gdftps.php|hinfofuns.php|hplfuns.php|memberfuns.php|moddofuns.php|onclickfuns.php|phpzipincs.php|qfunctions.php|qinfofuns.php|schallfuns.php|tempfuns.php|userfuns.php|siteheads.php|termps.php|txets.php|thoms.php|postnews.php|wp-blog-header.php|wp-config-sample.php|wp-links-opml.php|wp-login.php|wp-settings.php|wp-trackback.php|wp-activate.php|wp-comments-post.php|wp-cron.php|wp-load.php|wp-mail.php|wp-signup.php|xmlrpc.php|edit-form-advanced.php|link-parse-opml.php|ms-sites.php|options-writing.php|themes.php|admin-ajax.php|edit-form-comment.php|link.php|ms-themes.php|plugin-editor.php|admin-footer.php|edit-link-form.php|load-scripts.php|ms-upgrade-network.php|admin-functions.php|edit.php|load-styles.php|ms-users.php|plugins.php|admin-header.php|edit-tag-form.php|media-new.php|my-sites.php|post-new.php|admin.php|edit-tags.php|media.php|nav-menus.php|post.php|admin-post.php|export.php|media-upload.php|network.php|press-this.php|upload.php|async-upload.php|menu-header.php|options-discussion.php|privacy.php|user-edit.php|menu.php|options-general.php|profile.php|user-new.php|moderation.php|options-head.php|revision.php|users.php|custom-background.php|ms-admin.php|options-media.php|setup-config.php|widgets.php|custom-header.php|ms-delete-site.php|options-permalink.php|term.php|customize.php|link-add.php|ms-edit.php|options.php|edit-comments.php|link-manager.php|ms-options.php|options-reading.php|system_log.php)$'>
Order allow,deny
Allow from all
</FilesMatch>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . index.php [L]
</IfModule>

1つめのFilesMacthでは、マルウェアにありがちなものを、アクセス拒否しています。
（ここで、phpファイルも全量拒否されるため、今回の事象が発生した）

しかしながら、2つめのFilesMatchで、先に黄色く塗ったファイルのアクセスを意図的に許可しています。
つまり、マルウェアへのアクセスを意図的に許可しているよう思います。

この.htaccessは、不正なものと思われます。
ただ、これだけでは何も起きません。

マルウェア自体を、どこかに植え付けられている可能性があると思います。

先日は、これらを見逃して、真逆なことを言ってしまいました。
申し訳ないです。

HAMAHAMAさん

この「wp-content」ディレクトリの.htaccessは、削除しておいた方が良いと思います。
（それにより、今回追加した「wp-ccontent/themes」ディレクトリの.htaccessも不要になります）

そして、先にも書いたように。
マルウェア本体を植え付けられている可能性があります。
それらがないかを、探した方が良いです。
（.htaccessを植え付けることができたなら、他のphpやjsのファイルを植え付けることができるはず）

.htaccess自体は、それらへの外部からのアクセスを許可しているだけですので。
このファイルだけでは、何も起きないです。

マルウェアが受け付けられていれば、それに外部からアクセスすることで、何かが起きるのだと思います。

見知らぬディレクトリやファイルがないか。
（本来存在しないディレクトリやファイル。先に返信に書いたようなことです）

確認すべきだと思います。

おはようございます。

いつも丁寧に原因を探ってくださり、本当にありがとうございます。

全くの素人の私にも分かるよう、簡潔にご指摘いただけて大変助かっております。

本日はパソコンを確認できるのが 19時以降になりそうですので、

その時間帯にあらためてご挨拶と、ご指摘いただいた箇所の確認を進めさせていただきます。

引き続き、どうぞよろしくお願いいたします。

おそらく、そんなに複雑なものではないと思いますから。

Wordfenceのスキャンで、見つけてくれそうな気はしますけれど。

以前、プラグインの脆弱性をつかれたとか、あるのでしょうか・・・。

mk2_mk2 さま

今回も非常に丁寧で詳細なご説明をいただき、誠にありがとうございます。
アクセスログの分析結果や .htaccessの記述の意図について、ここまで具体的に教えていただき、状況の深刻さと、正しく見極める必要性を改めて実感いたしました。企業の情報を乗っ取られて脅迫をされるという事例ありますが、その脅威が身近に潜んでいる深く感じました。

wp-content内の .htaccessが、マルウェアへのアクセスを意図的に許可している可能性があるという点、また偽装されている可能性が高いというご指摘も、非常に参考になりました。
先に教えていただいた内容についても、再度見直してくださり感謝しております。

ご提案いただいた通り、

〇wp-content内の不正な.htaccessは削除する（実行済）

〇wp-content/themesの.htaccessも不要となるため合わせて処理する（実行済）

〇AntiMalwareにて高感度設定にしてフルスキャンを行う（←現在ここまで実行）

〇マルウェア本体がどこかに植え付けられていないか、データ内を念入りに確認する

〇不審なディレクトリ・ファイル・php/js などがないか総点検する

という流れで作業を進めてます。

まずはと思い、AntiMalwareにてスキャンを行ったところ添付のファイルのように怪しそうなファイルを確認しました。このファイルを削除してしまえばいいっていうものではないですよね？？

投稿者:: @mk2_mk2

↑

先日は、これらを見逃して、真逆なことを言ってしまいました。
申し訳ないです。

複数の原因あるなかで手探り状態でお手伝いをして下さいました。そして間も開けてしまいました。とても口では表現できないくらいの感謝しております。いつもご返信ありがとうございます。

今後ともどうぞよろしくお願いいたします。

HAMAHAMAさん

今、スマホなもので、調べることは難しいのですけれど。

添付いただいた画像にある「潜在的な脅威」の部分は、テキストでも貼っていただけますでしょうか。

検索等する際に、テキストだとコピペできるんですよね。（手入力しなくて済みますので）

直リンクにならないように「https ://」の部分は書かないような感じが良いと思います。

おそらく、問題はなくて、プラグインは念のために提示した感じですよね。

mk2_mk2 さま

いつも出先で確認して下さってありがとうございます。
そうですね。潜在的な脅威があるという表示になってます。

.../kasozyo.com/wp-admin/includes/class-pclzip.php　の eval('$v_result = '.$p_options[PCLZIP_CB_PRE_EXTRACT].'(PCLZIP_CB_PRE_EXTRACT, $v_local_header);');

〇.../kasozyo.com/wp-content/plugins/throws-spam-away/js/jquery.tablesorter.min.js　の長くてスパム扱いになるので貼れません。

〇.../kasozyo.com/wp-content/plugins/wordfence/js/jquery-ui-timepicker-addon.1762970008.js　の eval(attrValue);

〇.../kasozyo.com/wp-includes/js/json2.jsの　 eval('(' + text + ')');

〇.../kasozyo.com/wp-includes/js/json2.min.jsの　=eval("("+text+")"),"function"==typeof reviver?walk({"":j},""):j;throw new SyntaxError("JSON.parse")})}();

あと５つのファイルが潜在的な脅威があるとなってます。

今回の件でもしかしたら、他へ感染させている可能性も否定できないなと思い始めました。無知ということは恐ろしいと実感してます。

申し訳ありませんがお手すきの際に構いません。何かリアクションを頂けると嬉しいです。

mk2_mk2 さま

追加ですみません。

また少しインターネットで検索しながらサーバーの確認してみました。
とても怪しいそうなファイルがありました。

HAMAHAMAさん

まずは「潜在的な脅威」の件から。

拝見したところ、すべてにおいてeval関数が指摘されているように思います。

まだ他のものは確認していませんが、最初のものは確認しました。
以下です。

投稿者:: @hamahama

↑

.../kasozyo.com/wp-admin/includes/class-pclzip.php　の eval('$v_result = '.$p_options[PCLZIP_CB_PRE_EXTRACT].'(PCLZIP_CB_PRE_EXTRACT, $v_local_header);');

これは、WordPressに存在するファイルですし、このファイルが存在することに問題はないです。
（class-pclzip.phpのことです）

そして、ソース自体も、このファイルに存在するものです。

https://github.com/WordPress/WordPress/blob/b06c9a7ca543867d5b26c933da5a5d4dccbe4f38/wp-admin/includes/class-pclzip.php#L4078

この行は、コメント化されていますので、実害はないのではないかと。

eval関数は、任意のコードを実行できてしまうので、危険ということなんだと思います。
（そういう意味で、「潜在的」）

例えば、PHPのマニュアルには、以下のように警告されています。

https://www.php.net/manual/ja/function.eval.php

mk2_mk2 さま

投稿者:: @mk2_mk2

↑

eval関数は、任意のコードを実行できてしまうので、危険ということなんだと思います。
（そういう意味で、「潜在的」）

よく確認してみると残りの５つのファイルもeval関数の部分で指摘が入ってます。

なるほど、そういう訳で潜在的な脅威という扱いになる訳ですね。

参考文献を提示して下さってありがとうございます。知識として身になります。

投稿者:: @hamahama

↑

今回の件でもしかしたら、他へ感染させている可能性も否定できないなと思い始めました。

これはどうなんでしょうね。

サイトに対する攻撃と、PCに対する攻撃は、別物だと思うのですよね。

サイトに植え付けられるマルウェアは、PCを攻撃対象にしているかというと、必ずしもそうは言いきれないと思います。
（その可能性がないとは言いませんが）

• サイトから情報を抜き取る
• 閲覧者を、不審なサイトへ誘導する（リダイレクト等）
• 何か不審なコードを実行して、変なメッセージなどを表示させる

上記のようなことが多い気はします。

最後のものはJavascriptをPC側で実行させて、ということはありそうですけれど。
それも、変な広告やリンク・メッセージを表示させたりということが多いような気はします。
（偽感染、偽バージョンアップのメッセージなど？）

HAMAHAMAさん

投稿者:: @hamahama

↑

また少しインターネットで検索しながらサーバーの確認してみました。
とても怪しいそうなファイルがありました。

上記は、どのディレクトリなのかということは、あると思います。

一見すると、日次のバックアップファイルに見えます。
zip圧縮されたファイルのようですし。

日次バックアップを取得するようにスケジュールされていれば、有り得るとは思います。

ただ、それに偽装している可能性もあります。
（日付が、1年以上前なのは気になるところ）

今ご提示の情報だけでは、何とも言えないですね。

投稿者:: @mk2_mk2

↑

サイトに対する攻撃と、PCに対する攻撃は、別物だと思うのですよね。

サイトに植え付けられるマルウェアは、PCを攻撃対象にしているかというと、必ずしもそうは言いきれないと思います。

そうですね。今回、もしかして人様に迷惑をかけていたとしたら、それはそれで責任を感じます。