無料で有料テーマが手に入る?それ、マルウェア入りかもしれません。野良テーマ・プラグインの危険性と見分け方を解説。
「無料で有料テーマが手に入る」の罠
「〇〇テーマ 無料ダウンロード」で検索したことはありませんか?
本来有料のテーマやプラグインが、なぜか無料で配布されているサイト。これが野良テーマ・野良プラグインです。別名「Nulled(ヌルド)テーマ」とも呼ばれます。
結論から言うと、絶対に使ってはいけません。
なぜ危険なのか
1. マルウェアが仕込まれている
野良テーマの多くには、悪意のあるコードが埋め込まれています。
よくあるパターン:
- バックドア設置 - 攻撃者がいつでもサイトに侵入できる裏口
- スパムリンク挿入 - 知らないうちにSEOスパムサイトへリンク
- 仮想通貨マイニング - 訪問者のPCでマイニング実行
- 個人情報収集 - フォームの入力内容を外部送信
2. 発見が難しい
悪意のあるコードは巧妙に隠されています。
// 一見普通のコードに見えるが...
$text = 'ZXZhbChiYXNlNjRfZGVjb2RlKCJhV...';
eval(base64_decode($text));
Base64エンコードや難読化で、ぱっと見では分かりません。
3. 更新できない
正規ルートで入手していないので、セキュリティアップデートが受けられません。脆弱性が見つかっても放置されたまま。これだけでも十分危険です。
実際の被害事例
ケース1:ECサイトのクレジットカード情報流出
野良プラグインに仕込まれたスクリプトが、決済フォームの入力内容を外部サーバーに送信。数百件のカード情報が流出し、サイト閉鎖に追い込まれた。
ケース2:サイト改ざんでGoogle検索から除外
バックドア経由でサイトを改ざんされ、フィッシングページを設置された。Googleから「危険なサイト」と判定され、検索結果から完全に除外。復旧に3ヶ月かかった。
ケース3:サーバー全体が踏み台に
1つのWordPressサイトから侵入され、同じサーバー上の他サイトにも被害が拡大。レンタルサーバー会社からアカウント停止処分を受けた。
野良テーマの見分け方
こんなサイトは要注意:
正しい入手方法
テーマ
| 入手先 | 安全性 | 備考 |
|---|---|---|
| WordPress公式ディレクトリ | ◎ | 審査済み |
| テーマ開発元の公式サイト | ◎ | 有料テーマはここから |
| ThemeForest等の大手マーケット | ◯ | 一定の審査あり |
| 知らないサイト | ✕ | 絶対ダメ |
プラグイン
| 入手先 | 安全性 | 備考 |
|---|---|---|
| WordPress公式ディレクトリ | ◎ | 管理画面から直接インストール |
| プラグイン開発元の公式サイト | ◎ | Pro版はここから |
| GitHub(開発元公式) | ◯ | ベータ版など |
| 知らないサイト | ✕ | 絶対ダメ |
もし使ってしまったら
すでに野良テーマ・プラグインを使っている場合:
- すぐに削除 - 該当テーマ/プラグインを削除
- マルウェアスキャン - Wordfenceなどでサイト全体をスキャン
- パスワード変更 - WordPress、DB、FTP全てのパスワードを変更
- バックアップから復元 - 感染前のバックアップがあれば復元
不安な場合は、専門業者に相談することをおすすめします。
まとめ
- 野良テーマ・プラグインにはマルウェアが仕込まれている
- 数千円〜数万円をケチった結果、サイト全損の可能性
- 公式ディレクトリか開発元から入手すること
「無料で有料テーマ」は、タダより高いものはない の典型例です。
WordPressのセキュリティが不安な方へ
「うちのサイト、大丈夫かな?」と思ったら、お気軽にご相談ください。
- 現状のセキュリティ診断
- マルウェア感染のチェック
- 適切な対策のご提案
初回相談は無料です。
WordPressでやってはいけないことシリーズ
- ① 野良テーマ・プラグインを使う ← 今回
- ② 更新を後回しにする(次回)
- ③ xmlrpc.phpを有効のまま放置
- ④ 「admin」をユーザー名にする
- ⑤ バックアップを取らない
