WordPressにログインできない緊急対応マニュアル｜ハッキング・マルウェア復旧手順

WordPressにログインできない状態は、単なるパスワード忘れとは限りません。突然ログイン画面が開かない、正しいIDとパスワードでも弾かれる、海外サイトへ飛ばされる場合は、ハッキングやマルウェア感染を前提に緊急対応する必要があります。

よこやま良平

WordPressの復旧・マルウェア対応を現場で行っている、よこやま良平です。20年以上ITエンジニアとして活動し、実際の復旧現場で多い「今まさに管理画面へ入れない」ケースをもとに解説します。

緊急時に大切なのは、慌てて何度もログインを試さないことです。攻撃者が作った偽ログイン画面や、改ざんされた管理画面に情報を入力すると、被害が広がる可能性があります。

この記事では「いま管理画面に入れない人」を前提に、被害を広げない順番で復旧手順をまとめます。難しい作業が不安な場合は、無理に触らず専門家へ相談してください。

【無料プレゼント】
WordPress緊急チェック50

「自分のサイトは今、安全なのか？」
自信を持って答えられますか？

こんなお悩みはありませんか？

• ある朝、サイトを開いたら真っ白画面になっていた
• 管理画面にログインできなくなって手が止まった
• 身に覚えのない記事やページが勝手に増えていた
• プラグインを更新したらサイト全体が崩れてしまった
• 以前バックアップを取ったか自分でも覚えていない

累計1,000件以上のWordPressトラブル対応の経験から、「壊れる前に備える」ためのチェックリストを1冊にまとめました。
ログイン・本体・バックアップ・サーバー・運用の5分野を、50項目で「危険度・確認方法・対処法」まで解説しています。

セキュリティプラグイン・WordPressの教科書も含めた3大特典を、
今なら無料で受け取れます。

今すぐ無料ダウンロードする →

※登録後すぐにメールで特典をお届けします

WordPressにログインできない時は被害拡大を止める

結論から言うと、ログイン不能の緊急対応では「証拠を残す」「入口を止める」「安全な経路で復旧する」の3つを優先します。

まず現在の症状を記録する

最初に、ログイン画面・エラー文・リダイレクト先URLをスクリーンショットで残します。復旧現場では、この記録が侵入口や改ざん範囲の判断材料になります。

スマホで画面を撮影するだけでも構いません。あとから「いつから」「どの画面で」「何が起きたか」を説明できる状態にしておくことが重要です。

何度もログインを試さない

ログインできないからといって、何度もパスワードを入力するのは危険です。ログインフォーム自体が改ざんされている場合、入力した情報を攻撃者に渡してしまう可能性があります。

特に、いつもと違うデザインのログイン画面、広告が出る画面、海外ドメインへ移動する画面では入力を止めてください。

WordPressが乗っ取られた！今すぐやるべき緊急対処法と被害を最小限にする手順

WordPressログイン不能の原因を切り分ける

ログイン不能は、パスワード問題・プラグイン不具合・サーバー障害・不正アクセスの4系統に分けて確認すると早く判断できます。

通常トラブルとハッキング疑いを分ける

パスワード再発行メールが届き、管理画面の見た目も通常通りなら、まずは通常トラブルとして確認します。一方で、管理者ユーザーが消えている、知らないユーザーが増えている、ログイン後に別サイトへ飛ぶ場合は不正アクセスを疑います。

復旧対応では「ただログインできない」よりも「なぜログインできないか」を見極めることが大切です。原因を誤ると、復旧後すぐに再感染します。

サーバーパネルから状態を確認する

WordPress管理画面に入れない時でも、レンタルサーバーの管理画面には入れることがあります。ファイルマネージャー、データベース、アクセスログを確認できれば、復旧の入口が作れます。

ここで重要なのは、いきなりファイルを削除しないことです。まずバックアップを取得し、更新日時が不自然なファイルを確認します。

確認日: 2026-xx-xx
症状: wp-login.phpへアクセス不可
直近更新: プラグイン更新 / テーマ編集 / 不明
サーバー警告: あり / なし
不審URL: あり / なし

WordPress不具合の原因と解決方法｜よくある7つのトラブル完全ガイド【パターン別】

WordPressを安全に復旧する基本手順

緊急復旧では、管理画面から直すよりも、サーバー側で安全確保してからWordPressへ戻る流れが正解です。

バックアップを取ってから作業する

感染している可能性があっても、作業前バックアップは必ず取ります。感染ファイルも調査材料になるため、復旧前に消してしまうと原因特定が難しくなります。

バックアップは「ファイル一式」と「データベース」の両方が必要です。片方だけでは、記事・設定・ユーザー情報が戻らないことがあります。

プラグインを一時停止してログイン可否を確認する

不正アクセスではなく、セキュリティプラグインやキャッシュ系プラグインの競合でログインできないこともあります。サーバーのファイルマネージャーでpluginsフォルダ名を一時変更すると、全プラグインを止められます。

wp-content/plugins
↓ 一時変更
wp-content/plugins_off

これでログインできる場合は、プラグインを1つずつ戻して原因を特定します。ただし、改ざん症状がある場合はログインできても安心せず、マルウェア確認を続けてください。

初心者でもできるワードプレス ウイルス チェック方法

管理者ユーザーとパスワードを再設定する

ログインできたら、すぐに管理者ユーザーを確認します。知らない管理者があれば削除し、全管理者のパスワードを強力なものへ変更します。

メールアドレスも必ず確認してください。攻撃者が管理者メールを変えていると、パスワード再発行を奪われる可能性があります。

WordPressマルウェア感染が疑われる時の確認ポイント

ログイン不能がマルウェア由来の場合、表面上ログインできるようにしても、感染ファイルを残すと再発します。

改ざんされやすい場所を確認する

現場でよく見る感染箇所は、.htaccess、wp-config.php、テーマのfunctions.php、uploads内の不審なPHPファイルです。特にuploadsは画像置き場のため、PHPが紛れている場合は注意が必要です。

ただし、WordPress本体にもPHPファイルは多数あります。名前だけで削除せず、更新日時・中身・配置場所を見て判断します。

検索結果汚染も確認する

管理画面だけでなく、Google検索結果にカジノ、偽通販、薬品系のページが出ていないかも確認します。検索結果汚染は、サイト表示が正常でも裏側で大量ページを生成されているケースがあります。

site:example.com カジノ
site:example.com viagra
site:example.com スーパーコピー

検索結果にカジノページが出る原因と消し方｜WordPressスパム感染対策

WordPressログイン復旧後に必ず行う再発防止

ログインできるようになった後こそ、再発防止を入れるタイミングです。入口を塞がない復旧は、数日後に同じ被害へ戻ります。

更新と権限を整える

WordPress本体、プラグイン、テーマを最新化し、使っていないものは削除します。停止だけではファイルが残るため、脆弱性があるプラグインは削除が基本です。

FTPやサーバーパネルのパスワードも変更します。WordPressだけ変えても、サーバー側の認証情報が漏れていると再侵入されます。

ログインURL変更と攻撃遮断を行う

ログイン画面を狙った攻撃には、ログインURL変更・XMLRPC遮断・不正ログインブロックが有効です。クイックレスキュー365は、ログインURL変更やXMLRPC遮断などの防御機能を無料で使えます。

なお、クイックレスキュー365にはマルウェアのスキャン機能はありません。感染確認にはWordfenceなどのスキャン機能や専門調査を組み合わせてください。

日本製セキュリティ対策で不正アクセスを遮断「クイックレスキュー365」無料ダウンロード

WordPressログインできない時のよくある質問

WordPressにログインできない緊急対応まとめ

WordPressにログインできない時は、焦ってログインを繰り返すより、症状記録・バックアップ・原因切り分けを優先してください。ハッキングやマルウェア感染が疑われる場合は、管理画面だけで解決しようとしないことが重要です。

WordPressにログインできない問題が自分で直せない時は

WordPress保守・不正アクセス対策・マルウェア駆除・WordPressクイックレスキュー365

ワードプレスのWordPressエラートラブル解決をしたいなら
クイックレスキューが解決します。

これらでお悩みなら最短30分ですぐに解決します！

いまなら期間限定で