WordPress乗っ取り判定｜管理者アカウントと権限を確認する方法

WordPressが乗っ取られたかどうかは、見た目の改ざんだけでは判断できません。管理者アカウント、メールアドレス、権限、ログイン履歴に不自然な変化があるなら、すでに権限を奪われている可能性があります。

よこやま良平

WordPressの乗っ取り相談を多く見てきた、よこやま良平です。管理者画面に入れる状態でも、裏側で別の管理者が作られているケースは珍しくありません。

乗っ取り対応で大切なのは、「ログインできるから大丈夫」と考えないことです。攻撃者は、正規管理者を残したまま別の管理者を追加し、後日また入れる状態を作ることがあります。

この記事では、管理者アカウント、メール変更、権限奪取の3つに絞って判定します。マルウェア検出よりも、まず人間の操作権限を取り戻す視点で確認しましょう。

【無料プレゼント】
WordPress緊急チェック50

「自分のサイトは今、安全なのか？」
自信を持って答えられますか？

こんなお悩みはありませんか？

• ある朝、サイトを開いたら真っ白画面になっていた
• 管理画面にログインできなくなって手が止まった
• 身に覚えのない記事やページが勝手に増えていた
• プラグインを更新したらサイト全体が崩れてしまった
• 以前バックアップを取ったか自分でも覚えていない

累計1,000件以上のWordPressトラブル対応の経験から、「壊れる前に備える」ためのチェックリストを1冊にまとめました。
ログイン・本体・バックアップ・サーバー・運用の5分野を、50項目で「危険度・確認方法・対処法」まで解説しています。

セキュリティプラグイン・WordPressの教科書も含めた3大特典を、
今なら無料で受け取れます。

今すぐ無料ダウンロードする →

※登録後すぐにメールで特典をお届けします

WordPress乗っ取り判定は管理者アカウントから始める

結論として、最初に見るべき場所はユーザー一覧です。知らない管理者、登録日時が不自然なユーザー、見覚えのないメールアドレスがあれば乗っ取りの疑いが強まります。

知らない管理者ユーザーを探す

管理画面に入れる場合は「ユーザー」から管理者権限のユーザーを確認します。入れない場合はデータベースの wp_users を確認します。攻撃者は admin2、support、wp-system のような自然に見える名前を使うことがあります。

SELECT ID, user_login, user_email, user_registered, user_status
FROM wp_users
ORDER BY user_registered DESC;

正規管理者が消えていないか確認する

攻撃者が正規管理者を削除するケースもありますが、実務では残したまま権限だけ変えることもあります。ユーザーが存在していても、管理者権限を持っているとは限りません。

日本製セキュリティ対策で不正アクセスを遮断「クイックレスキュー365」無料ダウンロード

WordPress乗っ取りではメールアドレス変更を確認する

管理者メールが変更されると、パスワード再発行や通知が攻撃者側へ届く可能性があります。ログイン可否だけでなく、通知先の改ざんを確認してください。

管理者メールとユーザーメールを見る

WordPressの「設定」内にある管理者メールアドレスと、各ユーザーのメールアドレスを確認します。知らないメール、無料メール、海外ドメイン、意味不明な文字列が入っていれば危険です。

wp_optionsのadmin_emailも確認する

管理画面に入れない時は、データベースの wp_options にある admin_email を確認します。テーブル接頭辞が wp_ ではない環境もあるため、実際の接頭辞に合わせて見てください。

SELECT option_name, option_value
FROM wp_options
WHERE option_name = "admin_email";

メールを戻すだけでは不十分です。なぜ変更されたのか、変更できる権限を誰が持っていたのかまで追う必要があります。

WordPress乗っ取りの核心は権限奪取の確認にある

乗っ取りの本質は、攻撃者が管理者権限を持っていることです。ユーザー名やメールだけでなく、wp_usermeta の権限情報を確認します。

wp_capabilitiesでadministratorを探す

WordPressの権限は wp_usermeta に保存されています。wp_capabilities の中に administrator が含まれるユーザーが管理者です。知らないIDに administrator が付いていれば、権限奪取の疑いがあります。

SELECT user_id, meta_key, meta_value
FROM wp_usermeta
WHERE meta_key LIKE "%capabilities%"
AND meta_value LIKE "%administrator%";

wp_user_levelだけで判断しない

古い情報では wp_user_level を見る方法が紹介されることがありますが、それだけでは不十分です。現在の権限判断では capabilities を中心に確認します。複数のメタ情報を組み合わせて見てください。

WordPress乗っ取り判定でファイル側も確認する

アカウントを戻しても、ファイル側にバックドアが残っていれば再び乗っ取られます。特に uploads 内PHP、テーマのfunctions.php、見慣れないプラグイン、wp-config.php の不審な読み込みを確認します。

uploads内PHPと不審なプラグインを探す

画像フォルダにPHPがある場合、攻撃者が後から管理者を作り直す入口になっている可能性があります。wp-content/plugins に見覚えのないフォルダが増えていないかも確認します。

find wp-content/uploads -type f -name "*.php"
find wp-content/plugins -maxdepth 1 -type d -mtime -30

ログインURL変更だけでは乗っ取り対策にならない

ログインURL変更は有効な防御の一つですが、すでに管理者権限を奪われた後では単独で解決しません。まず権限を回収し、バックドアを除去し、その後にログインURL変更やXMLRPC遮断を設定します。

WordPress乗っ取りが疑わしい時の安全な対応

乗っ取りが疑われる時は、証拠を残してから権限を回収します。削除とパスワード変更だけで終わらせず、侵入経路と再発防止まで進めることが重要です。

1. 現状のDBとファイルをバックアップする
2. 管理者ユーザー一覧と権限情報を保存する
3. サーバー/FTP/DB/WordPressのパスワードを変更する
4. 知らない管理者を無効化または削除する
5. 正規管理者のメールと権限を戻す
6. uploads内PHPや不審プラグインを調査する
7. ログイン防御と更新管理を設定する

WordPress乗っ取り判定のよくある質問

WordPress乗っ取り判定まとめ

WordPressの乗っ取り判定では、見た目よりも権限を確認することが重要です。知らない管理者、メール変更、administrator権限の不自然な付与があれば、単なるログイントラブルではなく侵害として扱います。

乗っ取りは早く見つけるほど被害を抑えられます。少しでも不自然なユーザーやメール変更があれば、証拠を残して慎重に対応してください。

WordPressの不正アクセス・乗っ取りが自分で直せない時は

WordPress保守・不正アクセス対策・マルウェア駆除・WordPressクイックレスキュー365

ワードプレスのWordPressエラートラブル解決をしたいなら
クイックレスキューが解決します。

これらでお悩みなら最短30分ですぐに解決します！

いまなら期間限定で