よこやま良平 
WordPressがハッキングされたと感じたとき、最初に重要なのは「何が起きているのか」を正しく判断することです。
多くの初心者は焦って作業を進めてしまい、復旧を難しくしたり、
被害をさらに拡大させてしまいます。
まず確認すべきは、症状が
- 「改ざん」
- 「不正アクセス」
- 「勝手なリダイレクト」
- 「表示不具合」
のどれに当てはまるかです。
表示が突然変わった、見覚えのないファイルが増えている、他サイトへ飛ばされるなどの変化は典型的なサインです。
また、管理画面にログインできない場合は、パスワード変更や不正ユーザーの追加が行われた可能性があります。
判断を誤らないためには、慌てて削除や更新をせず、まず現状をそのまま「保全」することが大切です。
状況を正しく把握すれば、復旧手順も明確になり、安全に元の状態へ戻すことができます。
使い方から収益化までプロが教える
WordPressの教科書
「もう限界かもしれない…」
そんな思いで立ち止まっていませんか?
「収益が一向に増えず、事業を続ける意味に迷い始めている」
「クラウドソーシングや営業して稼げるか不安だ」
「収益化したいけれど、YouTubeや書籍では解決できなかった」
「WordPressでLP制作を頼まれるが、具体的な方法がわからない」
「広告を出稿したが、まったく成果が出なくて悩んでいる」
「仕事でグラフや資料制作を思うように作れない」
「独学の限界を感じ、でも何から学ぶべきかわからない」
これらの悩みを抱えているのは、
あなただけではありません。
多くのフリーランスや経営者が、
同じ壁にぶつかっています。
その壁を越えるための「本物の解決策」が、ここにあります。
私たちはこれまで、
数多くのフリーランスや経営者が収益化に成功するための
お手伝いをしてきました。
WordPressでホームページやブログを作るスキルだけでなく、
広告を最大限活用して集客し、
売上を上げるノウハウを惜しみなくお伝えします。
「成果が出る広告の作り方」
「売れるホームページを構築する秘訣」
「初心者でも成果を上げるための実践的なステップ」
これらを余すことなく提供するWordPressの教科書を、
今なら無料で受け取れます!
いまなら、先着300部限定で無料プレゼント付です。
目次
WordPressがハッキングされているか確認する方法
WordPressがハッキングされると、多くの場合 サイト表示の異常・管理画面の違和感・ファイルの改ざん といった分かりやすい症状が表れます。
改ざんの代表パターン
- 不正ファイルの挿入
- wp-admin / wp-content の書き換え
ハッカーはまず wp-content / uploads / plugins 配下に「無関係なPHPファイル」を紛れ込ませます。
ファイル名は cache.php、wp-temp.php のように一見無害に見えるものが多く、更新日が最近のファイルは特に注意が必要です。
本来変更されるはずのない wp-admin や wp-includes のコアファイルが変更されている場合、改ざんの可能性が極めて高いです。
特に index.php、functions.php などに不審なコードがあればハッキング確定です。
勝手に他サイトへリダイレクトされる原因
- JavaScript埋め込み
- .htaccessの改ざん
- データベース内のスパムURL注入
- index.phpの改ざん
不審なスクリプトが追加されると、アクセスした瞬間に他サイトへ飛ばされることがあります。
長い1行の暗号化コード(base64)が特徴的です。
.htaccess はリダイレクトを制御するため、ここを改ざんされると 特定のページだけ勝手に別サイトへ飛ぶという症状が起きます。
不明な RewriteRule が追加されていないか要確認です。
記事本文や wp_options にスパムURLが挿入されるケースもよく見られます。
特にトップページだけ飛ばされる場合はデータベース汚染の可能性大です。
不正アクセスの兆候を確認する
- 不明な管理者ユーザーの追加
- ログイン履歴の異常
- サーバーログ上の攻撃痕跡
管理画面の「ユーザー一覧」に心当たりのないアカウントがあれば、すでに侵入されています。
権限が「管理者」になっている場合は最も危険です。
短時間で多数のログイン失敗、海外IPからの連続ログインなどは不正アクセスの明確な兆候です。
セキュリティプラグインを導入している場合はログを確認しましょう。
FTP / SSH / アクセスログで、短時間の大量アクセス、不審なPOSTリクエスト、意図しないファイルアップロードなどが見られる場合、裏口(バックドア)を設置されている可能性があります。
【最優先】被害拡大を止めるための緊急措置
ハッキングを疑ったら、まず行うべきは「被害拡大のストップ」です。
復旧作業よりも先に、攻撃者がこれ以上改ざんを続けられない状態にします。
サイト停止(メンテナンス or サーバー側ブロック)
訪問者を守るためにも、まずは メンテナンスモード に切り替えるか、サーバー側で一時的にアクセスを遮断します。
これにより、攻撃の実行やスパム拡散を抑えられます。
パスワード全リセット
WordPress管理者、FTP、データベース、サーバーログインなど、関連するすべてのパスワードを即時変更 しましょう。
攻撃者がすでにログイン情報を保持している可能性を断つためです。
不正ユーザーの削除
管理画面に心当たりのないユーザーが存在する場合、直ちに削除します。
「管理者権限の奪取」は最も多い攻撃手口で、削除するだけで被害の進行が止まることもあります。
.htaccess の一時復旧
勝手にリダイレクトが起きている場合は、.htaccess の改ざん が原因であることが多いです。
WordPress標準の内容に差し替えることで、応急的に表示を回復できます。
管理画面を守るための即時対策
ログインURLの変更(/wp-login.phpの隠蔽)、海外IPの遮断、ログイン試行回数の制限など、最低限の防御壁 をこのタイミングで必ず設定します。
ハッキングの原因を特定するチェックポイント
原因を把握しないまま復旧しても、再び侵入される可能性は高いままです。
以下の項目を順に確認して、どこから攻撃が入ったのか特定しましょう。
脆弱なプラグイン/テーマ
攻撃の約7割は「古いプラグインの脆弱性」から侵入しています。
特に放置されがちなプラグインや、最終更新が1年以上前のものは要注意です。
放置されたアップデート
WordPress本体・テーマ・プラグインの更新を怠ると、既知の脆弱性が放置されたままになります。
「未更新=攻撃者に入口を開けたまま」という状態です。
FTP情報流出
パソコン側のウイルス感染や、FTPアプリの保存情報からログイン情報が盗まれるケースも非常に多いです。
身に覚えがないファイルアップロード痕跡は、このパターンを疑うべきです。
サーバー権限の設定ミス
ファイルのアクセス権限(644 / 755)が適切でない場合、攻撃者が書き込みできてしまいます。
特に wp-config.php が外部から参照できる状態は危険です。
REST API・XML-RPCの悪用
これらを悪用してユーザー権限を乗っ取る攻撃は増加しています。
不要な場合は無効化、またはアクセス制限をかけるべき項目です。
海外からの不審アクセス
ログに残っている海外IPからの大量アクセスや、短時間のログイン試行は典型的な攻撃サイン。
地域制限を行うことで多くの攻撃を遮断できます。
WordPressハッキングの復旧手順(初心者向けに徹底解説)
WordPressがハッキングされた際の復旧作業は、焦らず「正しい順番」で進めることが最重要です。
間違った操作をすると、復旧が困難になったり感染が拡大することもあります。
以下のステップに沿って、確実に安全な状態へ戻していきましょう。
STEP1:バックアップ(現状の証拠保全)
まずは 被害状況をそのまま保存するバックアップ を行います。
理由は、不正ファイルの場所や侵入経路を後から確認するためです。
サーバー側で、ファイル一式、データベースの両方を丸ごとダウンロードして保全します。
STEP2:不正ファイルの特定・削除
次に、改ざんされたファイルや不正なスクリプトを探します。
- uploads に仕込まれた PHP
- 一見無害に見えるファイル名(wp-temp.php など)
- 1行だけ長い文字列で暗号化されたコード
見つけた不正ファイルは削除し、異常があったフォルダ全体を総点検します。
STEP3:WordPress本体のクリーンアップ
WordPress本体は、新しい公式パッケージで上書きする のが最も安全です。
特に wp-admin と wp-includes は改ざんされやすいため、必ず新しいファイルに入れ替えましょう。
STEP4:テーマ・プラグインの再インストール
テーマやプラグインも改ざんされることが多いため、一度削除して 公式リポジトリから再インストール します。
カスタマイズしているテーマの場合は、functions.php や header.php などに不審なコードがないか徹底チェックが必要です。
STEP5:データベースのスパム削除
ハッキングではデータベースにスパムURLが注入されるケースもよくあります。
以下を確認してください。
- wp_posts の本文にスパム埋め込み
- wp_options に不正スクリプト
- 不明なテーブルの追加
必要に応じて検索置換ツールで悪意あるURLを削除します。
STEP6:.htaccess と wp-config.php の修正
ハッカーが リダイレクトやバックドア を仕込む場所として特に狙うのが、この2つのファイルです。
- .htaccess:WordPress標準の内容に復元
- wp-config.php:不審なコードや定義追加がないか確認
特に暗号化されたコード(base64)は真っ先に疑うべきです。
STEP7:サイトの動作チェック
復旧後は以下の点を総合的にチェックします。
- 表示が正しく戻っているか
- 403 / 404 / 500 エラーがないか
- 管理画面が正常に動作するか
- 不審なリダイレクトが再発していないか
ここまで問題なければ復旧はほぼ完了です。
STEP8:Google Search Console のインデックス修復/再審査
ハッキングが原因で
- 「このサイトは安全ではありません」
- 「不正なコンテンツが検出されました」
などの警告が出た場合は、復旧後に 再審査リクエスト を送ります。
Googleが問題がないと判断すれば、数日〜数週間で警告が解除されます。
復旧後に必ず行う「再発防止」セキュリティ対策
ハッキング復旧が完了しても、そのままでは再び攻撃されるリスクが残ります。
攻撃者は一度侵入に成功したサイトを「再利用」しようとするため、復旧後の対策こそ最重要 です。
1. プラグイン・テーマの管理ルールを見直す
ハッキングの原因で最も多いのが 古いプラグイン・テーマの脆弱性 です。
- 使用しないプラグインは必ず削除
- 更新停止(1年以上放置)のプラグインは代替へ乗り換え
- 子テーマに不審なコードが混入していないか定期チェック
プラグインを「必要最小限」にするだけで攻撃対象が大幅に減ります。
2. WordPress本体・テーマ・プラグインのアップデート運用
更新の放置は「既知の弱点を丸出しにしている状態」です。
復旧後は以下の習慣化が必要です。
- 月に1回のメンテナンス日を決める
- 更新前にバックアップを必ず取得
- 重大なセキュリティ更新は即日対応
これだけで、ほとんどの攻撃は未然に防げます。
3. セキュリティプラグインの導入(おすすめの組み合わせ)
初心者でも扱いやすい構成例:
- SiteGuard WP Plugin: ログイン防御・不正アクセス対策
- Wordfence Security: ファイアウォール・改ざん検知
- MalCare(有料): ワンクリックでマルウェア除去
※複数導入しすぎると競合するため、目的別に最適な組み合わせを選びます。
4. ログイン保護の強化(攻撃の80%はログインページ狙い)
次に狙われるのはほぼ「ログインページ」です。
- ログインURLの変更(wp-login.php を隠す)
- 二段階認証(2FA)の導入
- ログイン試行回数の制限
- 海外IPからのアクセス制限
これらは 再侵入防止の効果が最も高い 基本対策です。
5. サーバー側のセキュリティ設定強化
WordPressだけでは攻撃を完全に防げません。
サーバー側でも以下を必ず行います。
- FTPは SFTP に限定
- ファイル権限を 644 / 755 に統一
- 不要なPHP実行を禁止(uploads 内など)
- 管理画面・XML-RPCへのアクセス制限
サーバー設定は「攻撃者の入口を物理的に閉じる」効果があります。
6. バックアップの自動化(復旧の最終防御)
予期せぬトラブル時でも即復旧できるように、バックアップを自動化します。
- 毎日 or 毎週の自動バックアップ
- 保存先はサーバー外(Google Drive など)
- ファイルとDBをセットで保存
バックアップがあれば、最悪の場合でも確実に復旧できます。
WordPressがハッキングされた時の復旧手順と再発防止策のすべてのまとめ復旧よりも“運用習慣”が再発を防ぐ
WordPressのハッキング復旧は「終わり」ではなく、再スタートです。
多くのサイトは「復旧直後は安全」ですが、その後の更新放置・弱いパスワード・不要プラグインの残存など、日々の運用習慣の乱れから再感染が起こります。
再発を防ぐ最大のポイントは、特別な知識より 「小さな作業を習慣として積み重ねること」 です。
- プラグイン・テーマ・本体を定期的に更新
- バックアップの自動化を設定
- ログイン情報を適切に管理する
これだけで、被害率は大幅に下がります。
さらに、使わない機能を放置しない・ファイル変更通知を有効化するなど、日々の“安全運用ルール”を守ることで、攻撃者に隙を与えない状態を維持できます。
復旧そのものより、毎日の運用習慣こそ最大のセキュリティ対策です。
WordPressがハッキングされた時、自分で復旧できない場合は
ワードプレスのWordPressエラートラブル解決をしたいなら
クイックレスキューが解決します。
・WordPressが真っ白画面
・WordPressがログインできない
・ホームページのマルウェアや乗っ取り
・サイトの表示くずれ
・エラーが表示されている
これらでお悩みなら最短30分ですぐに解決します!
いまなら期間限定で
・万一改善されない場合は全額返金保証で安心!
・30日間動作保証で安心!
・調査料、キャンセル料 0円で安心!