よこやま良平
「まさか自分のサイトが改ざんされるとは思っていなかった」──これは復旧依頼を受けたサイトオーナーが口を揃えて言う言葉です。
改ざんは偶然起こるものではありません。具体的な侵入経路があり、その経路を塞ぐ対策を取っていれば防げます。20年以上のITエンジニア経験と500件超のWordPress復旧実績から、実際の被害事例を交えて9つの対策を解説します。
- 実際の改ざん被害事例と攻撃者の手口
- 改ざんを防ぐ9つの具体的な設定方法
- 無料プラグイン「クイックレスキュー365」で一括対策する方法
使い方から収益化までプロが教える
WordPressの教科書
「もう限界かもしれない…」
そんな思いで立ち止まっていませんか?
「収益が一向に増えず、事業を続ける意味に迷い始めている」
「クラウドソーシングや営業して稼げるか不安だ」
「収益化したいけれど、YouTubeや書籍では解決できなかった」
「WordPressでLP制作を頼まれるが、具体的な方法がわからない」
「広告を出稿したが、まったく成果が出なくて悩んでいる」
「仕事でグラフや資料制作を思うように作れない」
「独学の限界を感じ、でも何から学ぶべきかわからない」
これらの悩みを抱えているのは、
あなただけではありません。
多くのフリーランスや経営者が、
同じ壁にぶつかっています。
その壁を越えるための「本物の解決策」が、ここにあります。
私たちはこれまで、
数多くのフリーランスや経営者が収益化に成功するための
お手伝いをしてきました。
WordPressでホームページやブログを作るスキルだけでなく、
広告を最大限活用して集客し、
売上を上げるノウハウを惜しみなくお伝えします。
「成果が出る広告の作り方」
「売れるホームページを構築する秘訣」
「初心者でも成果を上げるための実践的なステップ」
これらを余すことなく提供するWordPressの教科書を、
今なら無料で受け取れます!
いまなら、先着300部限定で無料プレゼント付です。
目次
実際の改ざん被害事例|どんな手口で狙われるのか
改ざん対策を正しく理解するには、実際にどんな手口で攻撃されているかを知ることが重要です。よくある3つのケースを紹介します。
事例①:古いプラグインの脆弱性を突いたSEOスパム
問い合わせページのフォームプラグインに脆弱性が発見されたにもかかわらず、1年以上更新していなかった飲食店のサイトが被害にあいました。
攻撃者はその脆弱性を使ってサーバーに侵入し、各ページのfooterに海外サイトへの大量リンクを隠し挿入しました。サイトの見た目は変わらなかったため、オーナーは3ヶ月間気づかなかったのです。その間、Googleのクローラーは「スパムサイト」と判断し、検索順位が壊滅的に下落しました。
- 未更新プラグインの既知脆弱性を利用したリモートコード実行
- 管理者やユーザーには見えない隠しリンクを挿入(SEOスパム)
- 長期間検知されないようにステルス型の改ざんを選択
事例②:ブルートフォース攻撃で管理者パスワードを突破
「admin」というユーザー名に「pass1234」というパスワードを設定していた個人ブログが狙われました。ブルートフォース攻撃(自動的にパスワードを総当たりで試す攻撃)で1時間以内にログインされ、トップページにアダルトサイトへのリダイレクトを仕込まれました。
特にユーザー名が「admin」のサイトは最初に狙われます。WordPressのデフォルト設定のまま放置することが最大の危険要因です。
事例③:FTPパスワード漏洩によるバックドア設置
フリーWi-Fiでの作業中に通信を傍受され、FTPのパスワードが漏洩したと考えられるケースです。wp-content/uploads/ 内に「update.php」という名前のバックドアファイルが設置されていました。
このファイルは見た目には存在していないように見せかけており、定期的にWordPressのコアファイルを改ざんする処理を実行していました。バックドアを除去しなければ何度でも再感染します。
WordPress改ざんを防ぐ9つの対策
実際の被害事例から学んだ侵入経路を塞ぐ9つの対策です。難易度の低いものから順に実施することをおすすめします。
対策1:ログインURLを変更する
WordPressのデフォルトログインURL(/wp-login.php)は世界中の攻撃ボットが知っています。URLを変更するだけで、自動攻撃の9割以上を防げます。これが最もコストパフォーマンスの高い対策です。
クイックレスキュー365をインストールすれば、プラグインの設定画面からワンクリックでログインURLを変更できます。
対策2:管理者ユーザー名を「admin」以外に変更する
ブルートフォース攻撃は「ユーザー名 + パスワード」の組み合わせを総当たりで試します。ユーザー名が「admin」のままだと、パスワードだけ突破すればよいため、攻撃が半分成功した状態です。
変更手順はWordPressに「admin」以外の新しいユーザーを管理者権限で作成し、そのアカウントでログインしてから「admin」ユーザーを削除してください。
# 新しい管理者ユーザーを作成
wp user create newadmin newadmin@example.com --role=administrator
# 旧adminユーザーを削除(投稿は新ユーザーに移管)
wp user delete admin --reassign=2対策3:強力なパスワードを設定する
12文字以上の大文字・小文字・数字・記号を混在させたパスワードが理想です。パスワードマネージャー(1Password、Bitwardenなど)を使えば管理も楽になります。
- 「password」「123456」「admin123」など辞書に載っているもの
- サイトのドメイン名やサービス名をそのまま使ったもの
- 他のサービスで使い回しているもの(1つ漏洩すると全滅する)
- 生年月日・電話番号など個人情報から推測できるもの
対策4:XMLRPC機能を無効化する
XMLRPCはWordPressの遠隔操作用API。攻撃者はこれを使って1回のリクエストで何万回ものログイン試行を行います(マルチコール攻撃)。使っていなければ完全に無効化するのが正解です。
クイックレスキュー365のXMLRPC遮断機能を使うか、.htaccessに以下を追記します。
# XMLRPC.phpへのアクセスをすべて拒否
<Files xmlrpc.php>
order allow,deny
deny from all
</Files>対策5:プラグイン・テーマ・WordPress本体を常に最新版に保つ
脆弱性の多くは既知のものです。つまり「更新さえしていれば防げた」ケースが大半です。WordPressの管理画面で「自動更新」を有効にするか、週1回は更新状況を確認する習慣をつけてください。
使っていないプラグインは「無効化」ではなく「削除」してください。無効化されていても脆弱性は残ります。
対策6:ユーザー名の漏洩を防ぐ
WordPressはデフォルトで `?author=1` というURLにアクセスすると管理者のユーザー名が表示される設定になっています。攻撃者はこれでユーザー名を事前に把握してからブルートフォース攻撃を行います。
// author クエリでのユーザー名漏洩を防ぐ
add_action('init', function() {
if (preg_match('/author=([0-9]*)/i', $_SERVER['QUERY_STRING'])) {
wp_redirect(home_url());
exit;
}
});クイックレスキュー365の「ユーザー名漏えい防御」機能を使えばコードを書かずに設定できます。
対策7:UploadsフォルダでのPHP実行を禁止する
wp-content/uploads/ フォルダは本来画像ファイルを置く場所です。しかし攻撃者はここにPHPのバックドアファイルを設置して実行しようとします。.htaccessでPHPの実行を禁止すれば、この攻撃を防げます。
# uploadsフォルダ内のPHPファイル実行を禁止
<Files *.php>
deny from all
</Files>このファイルを `wp-content/uploads/` フォルダ内に作成してください。クイックレスキュー365はこの設定も自動で行います。
対策8:ログインエラーメッセージを統一する
WordPressのデフォルトでは、ログイン失敗時に「ユーザー名が間違っています」「パスワードが間違っています」と具体的なエラーメッセージを表示します。これは攻撃者に「ユーザー名は合っている」というヒントを与えてしまいます。
メッセージを「ユーザー名またはパスワードが間違っています」に統一することで、情報漏洩を防ぎます。
// ログインエラーメッセージを統一する
function custom_login_error_message() {
return 'ユーザー名またはパスワードが間違っています。';
}
add_filter('login_errors', 'custom_login_error_message');対策9:定期的なバックアップを自動化する
万全の対策をしていても、0%にはなりません。いざ改ざんされた時に「昨日のバックアップがある」という状態を作っておくことが最後の砦です。UpdraftPlusを使えば、自動バックアップをGoogle DriveやDropboxに保存できます。
クイックレスキュー365で対策1〜3・6〜8を一括設定する
上記の対策のうち、対策1(ログインURL変更)・対策2相当(ユーザー名漏えい防御)・対策3相当(ブルートフォースブロック)・対策4(XMLRPC遮断)・対策6(ユーザー名漏えい防御)・対策7(UploadsフォルダPHP実行禁止)・対策8(エラーメッセージ統一)は、クイックレスキュー365をインストールするだけで自動設定されます。
- セキュリティ状態の可視化(今、危険かどうかが一目でわかる)
- 不正ログインブロック(辞書攻撃を遮断)
- ログインURL変更(泥棒に玄関の場所を教えない)
- XMLRPC遮断(遠隔操作による攻撃をシャットアウト)
- ユーザー名漏えい防御(ログインIDを外部から特定させない)
- ログインエラーメッセージ統一(ヒントを与えない)
- IPアドレス拒否(怪しい相手を個別にブロック)
- UploadsフォルダPHP動作禁止(画像フォルダからウイルスを実行させない)
複数のセキュリティプラグインを同時に有効化すると、機能が競合してサイトが正常に動かなくなるリスクがあります。1つのプラグインで必要な機能を網羅する方が安全です。クイックレスキュー365は8つの防御機能を1つのプラグインで提供しているため、他のセキュリティプラグインとの競合リスクを最小化できます。
優先順位は①ログインURLの変更、②パスワードの強化、③プラグイン・テーマの更新、の順番です。この3つを実施するだけで大半の自動攻撃を防げます。クイックレスキュー365をインストールすれば①と関連する複数の対策を一度に設定できるため、まずインストールから始めることをおすすめします。
なります。攻撃ボットはアクセス数や規模に関わらず、世界中のWordPressサイトを自動スキャンして脆弱なサイトを狙います。むしろ個人ブログは対策が甘いことが多く、格好のターゲットです。「小さいサイトだから大丈夫」という考えは危険です。
バックアップがあれば復旧は比較的容易です。まずサイトをメンテナンスモードにして、バックアップから感染前の状態に戻し、パスワードを全変更してから再発防止策を施してください。バックアップがない場合やバックドアが見つからない場合は、専門業者への依頼が最短解決策です。
WordPress改ざん対策9選まとめ
- 対策1:ログインURLを変更した(クイックレスキュー365推奨)
- 対策2:管理者ユーザー名を「admin」以外に変更した
- 対策3:12文字以上の強力なパスワードを設定した
- 対策4:XMLRPC機能を無効化した
- 対策5:プラグイン・テーマを最新版に更新した
- 対策6:ユーザー名の漏洩を防ぐ設定をした
- 対策7:UploadsフォルダでのPHP実行を禁止した
- 対策8:ログインエラーメッセージを統一した
- 対策9:自動バックアップを設定した
改ざん対策は「やっておく安心感」ではなく「やらないリスク」として捉えてください。たった1つの対策(ログインURL変更)でも、大半の自動攻撃を防げます。今日できることから始めましょう。
WordPress改ざんが自分で直せない時は
ワードプレスのWordPressエラートラブル解決をしたいなら
クイックレスキューが解決します。
・WordPressが真っ白画面
・WordPressがログインできない
・ホームページのマルウェアや乗っ取り
・サイトの表示くずれ
・エラーが表示されている
これらでお悩みなら最短30分ですぐに解決します!
いまなら期間限定で
・万一改善されない場合は全額返金保証で安心!
・30日間動作保証で安心!
・初期費・調査料 0円で安心!