「サイトにアクセスしたら見知らぬページが表示される」「管理画面にログインできない」――そんな症状が出たら、WordPressがハッキングされている可能性があります。
WPレスキューには、毎日のようにハッキング被害のご相談が寄せられます。この記事では、被害に気づいたらすぐに実行すべき7つのステップを、現場で実際に行っている手順に沿って解説します。
ステップ1:サイトをメンテナンスモードにする
被害が拡大する前に、まずサイトを一時的に閲覧できない状態にしましょう。レンタルサーバーの管理画面からアクセス制限をかけるか、.htaccessでIPアドレス制限を設定します。
放置すると、訪問者がマルウェアに感染したり、Googleからペナルティを受けてSEO評価が大幅に下がるリスクがあります。「まだ大丈夫」と思わず、まずサイトを止めることが最優先です。
ステップ2:パスワードをすべて変更する
以下のパスワードをすべて変更してください。1つでも漏れがあると再び侵入されます。
- WordPress管理画面のログインパスワード(全ユーザー分)
- データベース(MySQL)のパスワード
- FTP / SFTPのパスワード
- レンタルサーバーの管理画面パスワード
パスワードは16文字以上・英数字記号を混在させた強固なものに設定しましょう。「password123」のような簡単なものは論外です。
ステップ3:マルウェアスキャンを実行する
不正なファイルがどこに仕込まれているかを特定します。以下のツールが有効です。
- Wordfence(プラグイン):ファイル改ざんの検出に強い
- Sucuri SiteCheck(オンライン):外部からマルウェアを検出
- サーバーのウイルススキャン機能:エックスサーバー等で利用可能
スキャン結果で検出されたファイルのパスと内容を記録しておきましょう。後の復旧作業で必要になります。
ステップ4:不正なユーザーアカウントを削除する
WordPressの「ユーザー一覧」を確認し、身に覚えのない管理者アカウントがないかチェックします。ハッカーはバックドアとして管理者アカウントを作成することが非常に多いです。
管理画面にログインできない場合は、phpMyAdminからデータベースのwp_usersテーブルを直接確認してください。不審なアカウントは即座に削除します。
ステップ5:WordPress本体・テーマ・プラグインを再インストール
改ざんされたファイルを確実に除去するため、以下を実行します。
- WordPress本体を公式サイトからダウンロードし、
wp-adminとwp-includesを上書き - 使用中のテーマを公式から再ダウンロードして上書き
- プラグインをすべて削除してから再インストール
- 使っていないテーマ・プラグインは完全に削除
重要:wp-content/uploadsフォルダ内に.phpファイルがある場合はマルウェアの可能性が極めて高いです。画像フォルダにPHPファイルは通常存在しません。見つけたら削除してください。
ステップ6:wp-config.phpのセキュリティキーを再生成する
wp-config.php内の「認証用ユニークキー」を再生成します。これにより、現在ログイン中の全セッションが無効化され、不正アクセス中のセッションも強制ログアウトされます。
WordPress公式のキー生成ツール(https://api.wordpress.org/secret-key/1.1/salt/)で新しいキーを取得し、wp-config.phpの該当箇所に貼り付けてください。
ステップ7:再発防止策を実施する
復旧が完了したら、同じ被害を繰り返さないための対策を講じましょう。
- WAF(Web Application Firewall)を有効にする——サーバー側で攻撃をブロック
- ログインURLを変更する——SiteGuard WP Pluginなどで/wp-login.phpを隠す
- 二段階認証を導入する——パスワードが漏洩しても侵入を防げる
- 自動アップデートを有効にする——脆弱性の放置を防ぐ
- 定期バックアップを設定する——万が一の際にすぐ復旧できる
- セキュリティ監視サービスを導入する——異変を即座に検知
自分で対応が難しい場合は
ハッキングからの復旧は専門知識が必要で、対応を誤るとデータが完全に失われるリスクもあります。特にマルウェアの除去は、1つでもバックドアを見逃すと数日で再感染します。
WPレスキューでは、ハッキング被害の緊急対応を承っています。サイトの復旧からセキュリティ強化まで、ワンストップで対応いたします。「もしかして?」と思ったら、まずはお気軽にご相談ください。
