よこやま良平
WordPressサイトにアクセスしたら見知らぬサイトにリダイレクトされていた。
管理画面のパスワードが変わっていてログインできない——そんな状況に直面していませんか?
20年以上のITエンジニア歴の中で、数多くのWordPress乗っ取り被害を修復してきました。
その経験から言えることは、乗っ取られた直後の初動対応が被害の大きさを決定的に左右するということです。
この記事では、乗っ取りの症状確認から緊急対処・管理画面に入れない場合の復旧方法・再発防止策まで、今すぐ実行できる手順を順番に解説します。落ち着いて一つずつ対処していきましょう。
使い方から収益化までプロが教える
WordPressの教科書
「もう限界かもしれない…」
そんな思いで立ち止まっていませんか?
「収益が一向に増えず、事業を続ける意味に迷い始めている」
「クラウドソーシングや営業して稼げるか不安だ」
「収益化したいけれど、YouTubeや書籍では解決できなかった」
「WordPressでLP制作を頼まれるが、具体的な方法がわからない」
「広告を出稿したが、まったく成果が出なくて悩んでいる」
「仕事でグラフや資料制作を思うように作れない」
「独学の限界を感じ、でも何から学ぶべきかわからない」
これらの悩みを抱えているのは、
あなただけではありません。
多くのフリーランスや経営者が、
同じ壁にぶつかっています。
その壁を越えるための「本物の解決策」が、ここにあります。
私たちはこれまで、
数多くのフリーランスや経営者が収益化に成功するための
お手伝いをしてきました。
WordPressでホームページやブログを作るスキルだけでなく、
広告を最大限活用して集客し、
売上を上げるノウハウを惜しみなくお伝えします。
「成果が出る広告の作り方」
「売れるホームページを構築する秘訣」
「初心者でも成果を上げるための実践的なステップ」
これらを余すことなく提供するWordPressの教科書を、
今なら無料で受け取れます!
いまなら、先着300部限定で無料プレゼント付です。
目次
WordPressが乗っ取られた時に出る症状を確認する
まず「本当に乗っ取られているのか」を正確に判断することが最初のステップです。乗っ取りの症状はさまざまで、気づかないまま被害が拡大するケースも少なくありません。以下の症状が一つでも当てはまる場合は、乗っ取りを疑って対処を始めてください。
サイトの表示が改ざんされる症状
最もわかりやすい乗っ取りのサインは、サイトの見た目が変わることです。自分のサイトにアクセスしたら詐欺サイトやアダルトサイトにリダイレクトされる——これは典型的な乗っ取り被害の症状です。
トップページや記事の内容が改ざんされ、身に覚えのない文章・広告・スパムリンクが挿入されていることもあります。また、サイト全体が真っ白な画面(ホワイトスクリーン)になってしまう場合も、マルウェアが仕込まれた可能性があります。Googleの検索結果に「このサイトは危険です」という警告が表示されていれば、すでに被害が深刻な状態です。
- サイトにアクセスすると別サイトへリダイレクトされる
- 身に覚えのない文字・広告・リンクが表示されている
- Googleの検索結果に「このサイトは危険です」という警告が表示される
- サイト全体が真っ白になっている
管理画面にアクセスできなくなる症状
乗っ取り被害で非常に多いのが「管理画面にログインできなくなった」という症状です。攻撃者がパスワードや管理者メールアドレスを変更してしまうため、正規の管理者がサイトに入れなくなります。
/wp-admin/ にアクセスしても「403 Forbidden」や「404 Not Found」が表示されるケース、またはログイン画面そのものが全く別のページにリダイレクトされるケースも見られます。「正しいパスワードを入力しているのに何度やっても入れない」という場合は、攻撃者がアカウントを乗っ取っているサインです。この場合は通常のログイン手順ではなく、データベースを直接操作する復旧方法が必要になります。
外部からの通知で気づく症状
乗っ取り被害は、外部からの通知で初めて気づくことも多いです。サーバー会社から「不審なファイルが検出されました」「アカウントを一時停止しました」というメールが届く場合は、すでに攻撃が行われている可能性が高いです。
Googleサーチコンソールに「サイトがハッキングされている可能性があります」という警告が表示されることもあります。サイト訪問者から「あなたのサイトにアクセスしたらウイルス警告が出た」という連絡が来た場合も、乗っ取り被害が発生しているサインです。これらの通知を受け取ったらすぐに次のステップへ進んでください。
WordPressが乗っ取られたら今すぐやること5選
乗っ取りを確認したら、被害を最小限に食い止めるために今すぐ行動する必要があります。以下の5つの対処を、できる限り短時間で実行してください。順番通りに進めることが重要です。
①サイトをメンテナンスモードにして被害の拡大を防ぐ
最初にすべきことは、サイトへのアクセスを一時的に止めることです。乗っ取られたサイトにアクセスが続くと、訪問者がマルウェアに感染したり詐欺サイトに誘導されたりする二次被害が発生します。まず訪問者を守ることを最優先にしてください。
サーバーのコントロールパネルからサイトを一時停止するか、FTPでメンテナンスページを設置する方法があります。サーバー会社によっては「WAF(Webアプリケーションファイアウォール)」を有効にして不審なアクセスをブロックする機能も提供しています。自分のサイトが「加害者」にならないよう、速やかにアクセスを遮断しましょう。
②WordPressの全ユーザーパスワードを即時変更する
管理画面にログインできる場合は、すべての管理者アカウントのパスワードをすぐに変更してください。「ユーザー」→「全ユーザー」から一覧を確認し、身に覚えのない管理者アカウントがあれば即座に削除します。攻撃者がバックドア用の管理者アカウントを作成していることは非常によくあります。
新しいパスワードは必ず12文字以上の複雑なもの(英大文字・小文字・数字・記号の組み合わせ)を使用してください。以前と同じパスワードや「password123」のような推測されやすい文字列は絶対に使わないでください。
③FTP・データベース・メールのパスワードも変更する
WordPressの管理画面パスワードだけでなく、サーバー周りのパスワードも全て変更する必要があります。攻撃者がFTPアカウントやデータベースへのアクセス権を取得している可能性があるためです。変更が必要なパスワードは以下の通りです。
- FTPアカウントのパスワード
- データベース(MySQL)のパスワード
- サーバーコントロールパネルのパスワード
- WordPressの管理者メールアドレスに使用しているメールアカウント
データベースパスワードを変更した場合は、wp-config.php に記載されているパスワードも新しいものに更新してください。FTP経由でwp-config.phpを編集する必要があります。
④Wordfenceでマルウェアスキャンを実施する
パスワードの変更が完了したら、サイトにマルウェアが残っていないかスキャンを行います。マルウェアが残ったままでは再度乗っ取られる可能性が高いからです。スキャンには「Wordfence Security」プラグインがおすすめです。
WordPressにWordfenceをインストールして「スキャン」機能を実行すると、感染ファイルや不審なコードを検出してくれます。スキャンで問題のあるファイルが見つかった場合は、Wordfenceの指示に従って修復または削除してください。ただし、コアファイルを誤って削除するとサイトが壊れるため、不明な場合は専門家への相談を推奨します。
⑤サーバー会社とGoogleサーチコンソールに報告する
自分で対処を進めながら、サーバー会社(ホスティング事業者)にも被害を報告してください。多くのサーバー会社ではハッキング被害のサポートを提供しており、サーバー側でのウイルス検出・除去を支援してもらえる場合があります。
Googleサーチコンソールで「セキュリティの問題」が検出されている場合は、問題を解決した後に「審査をリクエスト」を行ってください。Googleによる警告表示が解除されるまで検索からの流入が大幅に減少するため、できるだけ早く対応することが重要です。サイトで個人情報を取り扱っている場合は、漏えいの可能性がある場合に個人情報保護委員会への報告義務が生じることも覚えておいてください。
乗っ取りの主な手口と侵入経路
乗っ取りに対処するためには、どのような手口で侵入されたかを理解することが重要です。手口を知っていれば、再発防止策も的確に打てます。WordPressの乗っ取りで最もよく見られる3つの侵入経路を解説します。
ブルートフォース攻撃(総当たりログイン)
最も一般的な侵入手口がブルートフォース攻撃、つまりログインパスワードの総当たり攻撃です。自動化されたプログラムがよく使われるパスワードパターンを次々と試してログインを試みます。
WordPressのデフォルトのログインURL(/wp-admin/ や /wp-login.php)は世界中の攻撃者に知られており、毎日数千〜数万回の不正ログイン試行を受けているサイトも珍しくありません。「password」「12345678」「サイト名」のような簡単なパスワードを使っていると、あっという間に突破されてしまいます。対策としては強固なパスワードの設定・ログインURL変更・ログイン試行回数制限が有効です。
脆弱性のあるプラグイン・テーマからの侵入
WordPressのプラグインやテーマに存在するセキュリティの脆弱性を悪用した侵入も非常に多いです。更新プログラムが配布されているのに長期間放置していると、その脆弱性が攻撃者に利用されます。
特に危険なのは、公式ディレクトリ以外から入手した「無料」の有料テーマやプラグインです。これらには最初からマルウェアが仕込まれているケースがあります。また、長期間更新されていない放棄されたプラグインも脆弱性の温床になります。プラグインとテーマは常に最新の状態に保ち、使っていないものは削除することが鉄則です。
フィッシング・パスワードリスト攻撃
フィッシングメールや偽のログインページでパスワードを盗まれるケースも増えています。「WordPressから重要なお知らせ」を装ったメールのリンクをクリックしてしまうと、本物そっくりの偽ログインページでパスワードを入力させられます。
また、他のサービスで使い回しているパスワードが流出した場合、そのパスワードでWordPressへのログインも試みられる「パスワードリスト攻撃」も多発しています。同じパスワードを複数のサービスで使い回すことは絶対に避けてください。各サービスで異なるパスワードを設定することが、このような攻撃への最善の対策です。
管理画面に入れない場合の緊急復旧方法
乗っ取られた後に最も困るのが「管理画面にログインできない」状態です。この状況では通常の方法ではなく、別のルートからWordPressを復旧する必要があります。
phpMyAdminからパスワードを直接変更する
サーバーのコントロールパネルから「phpMyAdmin」にアクセスすると、WordPressのデータベースを直接操作できます。WordPressの管理画面を通らずにパスワードを変更できる方法です。
phpMyAdminでWordPressのデータベースを開き、「wp_users」テーブルを探します。自分の管理者アカウントの行を見つけて「user_pass」フィールドを編集し、新しいパスワードをMD5形式でハッシュ化して入力します。手順は以下の通りです。
1. サーバーコントロールパネル → phpMyAdmin を開く
2. WordPressのデータベースを選択
3. wp_users テーブルをクリック
4. 管理者ユーザーの行で「編集」をクリック
5. user_pass フィールドの関数を「MD5」に変更して新しいパスワードを入力
6. 「実行」をクリックして保存FTPでWordPressのコアファイルを再インストールする
マルウェアがWordPressのコアファイル(wp-admin・wp-includes フォルダ内のファイル)に感染している場合、FTPでそれらを削除して新しいファイルに置き換えることで復旧できる場合があります。
WordPress公式サイト(wordpress.org)から現在使用しているWordPressと同じバージョンのファイルをダウンロードし、FTPでサーバーにアップロードします。wp-content フォルダ(テーマ・プラグイン・画像が保存されている場所)は上書きしないよう注意してください。作業前に必ずバックアップを取得してから実行してください。
バックアップから復元して最短で元の状態に戻す
定期的にバックアップを取っていた場合、乗っ取り被害を受ける前の状態に復元するのが最も確実な方法です。サーバー会社が自動バックアップサービスを提供している場合は、乗っ取りが発生した日時以前のバックアップを復元してください。
ただし、バックアップから復元しただけでは侵入経路が塞がれていないため、復元後すぐにパスワードの変更や再発防止策を実施することが必須です。同じ脆弱性が残っていれば、すぐに再び乗っ取られます。復元と再発防止策はセットで行ってください。
乗っ取り後の再発防止に必須の設定
乗っ取り被害から復旧した後、同じ被害を繰り返さないための対策を必ず実施してください。「一度乗っ取られたサイトは攻撃者のリストに載っている」と考え、しっかりと防御を固めることが重要です。
クイックレスキュー365で不正ログイン対策を一括設定する
再発防止のためにまず推奨したいのが「クイックレスキュー365」の導入です。このプラグインは不正アクセス防止に特化した8つの機能を無料で提供しており、インストールするだけで主要な対策を一括で設定できます。
- 不正ログインブロック:辞書攻撃を遮断する
- ログインURL変更:攻撃の標的から外す最も効果的な対策
- XMLRPC遮断:遠隔操作による攻撃をシャットアウト
- ユーザー名漏えい防御:ログインIDを外部から特定させない
- ログインエラーメッセージ統一:攻撃者にヒントを与えない
- IPアドレス拒否:怪しい相手を個別に出入り禁止にする
- UploadsフォルダPHP動作禁止:画像フォルダからウイルスを実行させない
- セキュリティ状態の可視化:今の危険度が一目でわかる
ログインURLを変更して攻撃の標的から外す
WordPressのデフォルトのログインURL(/wp-login.php や /wp-admin/)は攻撃者に広く知られており、常に攻撃の対象になっています。このURLを独自のものに変更するだけで、自動攻撃ツールの標的から外れ、不正ログイン試行を大幅に減らせます。
クイックレスキュー365には「ログインURL変更」機能が含まれており、プラグインをインストールするだけで簡単に設定できます。筆者の経験上、この設定をしているだけで不正ログイン試行がほぼゼロになるケースが多くあります。変更後のURLは必ずメモしておくことを忘れずに。
WordPress・プラグイン・テーマを常に最新の状態に保つ
乗っ取り被害の原因として非常に多いのが、WordPressやプラグインの更新を長期間放置することです。開発者はセキュリティの脆弱性を発見するたびにアップデートを配布していますが、それを適用しないでいると既知の脆弱性を攻撃され続けます。
管理画面の「更新」ページを定期的に確認し、WordPress本体・プラグイン・テーマを最新版に保つ習慣をつけてください。また、使っていないプラグインやテーマは「削除」してください。無効化しているだけでも脆弱性のリスクは残ります。
サイトへのアクセス時に別サイトへリダイレクトされる、身に覚えのない内容が表示される、管理画面にログインできないなどの症状が代表的なサインです。Googleサーチコンソールやサーバー会社からの警告メールも乗っ取りのサインになります。
サーバーのコントロールパネルからphpMyAdminにアクセスし、データベースを直接操作してパスワードをリセットする方法が有効です。またはFTPでwp-admin・wp-includesフォルダを再インストールすることで復旧できる場合もあります。
Googleサーチコンソールでセキュリティ問題が検出されている場合は、問題を解決した後に「審査をリクエスト」を行う必要があります。対応しないと検索結果に「このサイトは危険です」という警告が表示され続け、SEOに大きな悪影響が出ます。
自力での復旧が難しい場合は、WordPress専門の修復サービスへの依頼をおすすめします。クイックレスキューは最短30分での対応が可能で、全額返金保証付きのため安心して依頼できます。まずは無料相談から始めてみてください。
WordPressが乗っ取られた時の対処法まとめ
WordPressの乗っ取り被害は、早期対処と適切な再発防止策によって確実に乗り越えられます。被害に気づいたらパニックにならず、この記事で解説した手順を一つずつ実行してください。
- 【確認】サイト改ざん・ログイン不可・外部通知で乗っ取りを判断する
- 【緊急対処】サイトを一時停止してから全パスワードを変更する
- 【スキャン】Wordfenceでマルウェアを検出・除去する
- 【復旧】ログインできない場合はphpMyAdminまたはFTPで対処する
- 【再発防止】クイックレスキュー365・ログインURL変更・定期更新を実施する
乗っ取り被害は誰にでも起こりうるトラブルですが、事前に適切なセキュリティ設定をしておけばリスクを大幅に下げることができます。今すぐできる対策から始めて、安全なWordPressサイトを維持してください。
WordPressの乗っ取りが自分で直せない時は
ワードプレスのWordPressエラートラブル解決をしたいなら
クイックレスキューが解決します。
・WordPressが真っ白画面
・WordPressがログインできない
・ホームページのマルウェアや乗っ取り
・サイトの表示くずれ
・エラーが表示されている
これらでお悩みなら最短30分ですぐに解決します!
いまなら期間限定で
・万一改善されない場合は全額返金保証で安心!
・30日間動作保証で安心!
・初期費・調査料 0円で安心!