ワームが検出されたのは、某有名ブログで紹介されたWordpressテーマですが、
次の点でやっかいです。
○感染するとハッカーに管理画面に侵入される。
○同じテーマディレクトリにある全てのテーマのfunctions.phpに同じワームが仕込まれてしまう。

[感染してるかどうかの確認]
管理画面で、外観→編集を選択してテーマの編集画面にすすみ、
右側のテンプレートからfunctions.phpを選択、
”wp_set_auth_cookie”使う怪しいコードが紛れ込んでいないか？
文字列検索などで確認してください。

[感染していた場合]
次の対応はしておいたほうがいいそうです。
・Wordpress本体を上書き
・プラグインの確認
・テーマの確認
・データベースの確認
・.htaccessファイルの確認
・ユーザーを登録しなおしてIDを変更する
・全ユーザーのパスワード変更
ということで、ほぼ、１からのやり直し。

[今後の対応]
テーマはWordpress公式の配布サイトからダウンロードするほうが
賢明ですね。

あらためて、思うのは、
ネットの情報を鵜呑みにしないこと。（自戒の意味で。）

Related posts:

1. Wordpressのインストール

メンテナンス中、サイトへのアクセスをブロックし、お知らせページを表示。
ログインしている登録ユーザーのみ、サイト・管理画面を見ることができる。
[ダウンロード]
http://wordpress.org/extend/plugins/maintenance-mode/
[日本語化]
http://wppluginsj.sourceforge.jp/i18n-ja_jp/maintenance-mode/

Related posts:

1. Wordpress プラグイン（１）
2. Wordpressのインストール
3. WordPress ブックマーク

それぞれダウンロードして
フォルダごと wp-content/plugins フォルダにアップロード。
管理画面でプラグインを有効にする。

○Admin Post Navigation
　投稿画面で前の記事や次の記事へのリンクを表示。
　一見地味だけど、とても便利。
　http://coffee2code.com/wp-plugins/admin-post-navigation/

○Akismet
　コメントスパム対策。
　初期インストール済み。

○All in One SEO Pack
　SEO対策。
　http://wordpress.org/extend/plugins/all-in-one-seo-pack/
　[設定]＞All in One SEOで設定。

○AntiVirus
　ウィルス対策。
　http://wpantivirus.com/
　[設定]＞AntiVirusから。

○Broken Link Checker
　リンク切れチェック
　http://wordpress.org/extend/plugins/broken-link-checker/
　[ダッシュボード]にリンク切れが表示される。

○Delete-Revision
　投稿リビジョン（投稿の変更履歴）を削除する。
　http://wordpress.org/extend/plugins/delete-revision/
　[設定]＞Delete-Revision より投稿リビジョンの削除を行う。
　『Check Redundant Revision』ボタンをクリックして、
　投稿リビジョンの一覧を表示。
　『Yes,I would like to delete them!(A Total Of ***)』ボタンをクリックして、
　投稿履歴を削除。

○EnglishDate
　日本語版WordPressの曜日・月表記を英語にする。
　http://www.feelwct.jp/staffblog/2008/02/wordpress.html

○Google XML Sitemaps
　xmlサイトマップ作成。
　http://wordpress.org/extend/plugins/google-sitemap-generator/
　[プラグン]＞Google XML SitemapsAntiVirusの[設定]で。

○My Category Order
　カテゴリの並べ替え。
　http://wordpress.org/extend/plugins/my-category-order/installation/
　[投稿]＞My Category Order で並べ替える。

○StatPress Reloaded
　アクセス解析
　http://wordpress.org/extend/plugins/statpress-reloaded/
　[設定]＞StatPress で表示。

○WordPress.com Stats
　アクセス解析。
　http://wordpress.org/extend/plugins/wp-stats/
　WordPress.com API キー要。

○WP-DBManager
　データベース管理。バックアップ。
　http://lesterchan.net/portfolio/programming/php/
　・インストール後、
　　”Your backup folder MIGHT be visible to the public”が表示されたら、
　　バックアップディレクトリが外部からアクセスされる危険性の警告。
　　wp-dbmanager フォルダの htaccess.txt を
　　wp-content/backup-db フォルダにアップロードし、
　　ファイル名を .htaccess に変更。
　・日本語化
　　http://wp.mmrt-jp.net/plugin-japanization-project/dbmanager/
　　dbmanagerフォルダの wp-dbmanager.pot と wp-dbmanager-ja.mo を
　　 wp-content/plugins/wp-dbmanager にアップロード。
　・[設定]＞データベースから。

○WP Multibyte Patch
　マルチバイト文字の取り扱いに関する不具合の累積的修正と強化。
　初期インストール済み。

○WP Super Cache
　スピードアップ。
　http://wordpress.org/extend/plugins/wp-super-cache/
　[設定]＞WP Super Cacheから。

○Yet Another Related Posts Plugin
　関連記事表示。
　http://wordpress.org/extend/plugins/yet-another-related-posts-plugin/
　・” YARPP のテンプレートファイルを現在使用のテーマのフォルダに・・”
　　と表示されるので
　　メッセージに従いテンプレートをコピー。
　・表示位置を指定したい場合、
　「＜php related_posts(); ?＞」をテーマ内の任意の箇所に記述。
　・[設定]＞ 関連記事（YARPP）から設定。
　・表示されない場合、表示する最低関連スコアの数字を小さくしてみる。

Related posts:

1. Wordpress プラグイン（２）
2. WordPress ブックマーク
3. Wordpressのインストール

WordPress ハック
http://www.catswhocode.com/blog/category/wordpress

Related posts:

1. Wordpress プラグイン（１）
2. Wordpress プラグイン（２）
3. Wordpressのインストール

※　バージョン 2.8.6時点です。
※　レンタルサーバーの場合、レンタルサーバーのマニュアルに従う。
※　5.～10.はwp-config.phpを直接書き換えるほうが早い。

1.　データベースの作成

2.　Wordpressファイルのダウンロード
　　WordPress最新版をダウンロードして解凍。

3.　Wordpressファイルのアップロード
　　解凍したファイルをフォルダごと、サーバーの任意のフォルダにアップロード。

4.　（必要に応じて）PHP5の設定
　　サーバーでPHPの複数のバージョンが動作する場合など、
　　必要に応じて php5 が動作するよう.htasessを設置。

5.　インストール
　　ブラウザからサーバーのアップロードしたフォルダにアクセス。
　　「ウィザード形式で wp-config.php ファイルを生成する 」
　　をクリックする。
　　※　”ファイルが見つかりません”の表示にうろたえない。

6. 　データベース情報の入力
　　・データベース名
　　・ユーザー名
　　・パスワード
　　・データベースのホスト名
　　以上、レンタルサーバーの場合マニュアルに書いてあるとおり。
　　テーブル接頭語は変えておく。wp_→ blog01_ など。
　　※　1つのデータベースで複数のWordPressを動かすことができる。
　　　　区別しやすくしておく。

7.　「インストールを実行しましょう」をクリック。

8.　ブログの初期設定
　　ブログのタイトルとメールアドレスを入力して
　　「WordPressをインストール>>」をクリック。

9.　以上でインストール終わり。
　　「成功しました！」が表示されたら
　　表示されているユーザー名とパスワードをメモ。
　　「ログイン」をクリック。

10.　メモしたユーザー名とパスワードでログイン。

11.　管理者権限のユーザを作成
　　[ユーザ]-[新規追加]で管理者権限のユーザーを作成。
　　（ブログ上の表示名も変えておく。）
　　いったんログアウト。
　　作成したユーザーでログイン。
　　adminを削除。

12.　[設定]を設定
　　＜特に留意点＞

　　[一般]
　　WordPress をインストールしたディレクトリとは別のディレクトリに
　　ホームページを設定する場合、ここで。
　　※　参考
　　http://wpdocs.sourceforge.jp/Giving_WordPress_Its_Own_Directory
　　※　4.で.htacessを設置したときは、それも忘れずに。

　　[投稿設定]
　　　更新情報サービス（pingの送信先を設定）

　　[表示設定]

　　[ディスカッション]

　　[メディア]

　　[プライバシー]
　　　ブログの公開設定

　　[パーマリンク設定]
　　　カスタム構造に。
　　　%category%、%post_id%、%postname% など。

　　[その他の設定]

13.　リンクの設定

14.　使用テーマをアップロード、変更

15.　プラグインをアップロード、有効化、設定
　　　Akismet、WP Multibyte Patch　はインストールされているので有効化。

16.　robots.txtの作成
　　　User-Agent: *
　　　Disallow: /wp-login.php
　　　Disallow: /wp-admin/
　　　Disallow: /wp-includes/
　　　Disallow: /wp-content/
　　　Allow: /
　　　Sitemap: http://・・・/sitemap.xml

17.　インストール用ファイルの削除
　　　念のため。
　　　•Wordpressインストールフォルダ / wp-admin / install.php
　　　•Wordpressインストールフォルダ / wp-admin / update.php
　　　update.phpは削除しないこと。（自動アップグレードに必要。）

18.　ファイルのバックアップ

お疲れさまでした。

Related posts:

1. Wordpressテーマに仕込まれるワームについて
2. Wordpress プラグイン（１）