よこやま良平
ある日突然、WordPressの管理画面にログインできなくなった…
- 「重大なエラーが発生しました」
- 「不具合によりアクセスできません」
という表示が出たとき、それはサイトがハッキング被害に遭っているサインかもしれません。
WordPressは世界中で利用されているため、攻撃の標的にもなりやすいCMSです。
特に「admin」のままのユーザー名や、使い回しのパスワード、アップデートを怠ったプラグインなどは要注意。
この記事では、「WordPress ハッキング 対策」「ログインできない」「不具合」などのトラブルを未然に防ぐために、実践すべき7つの対策をわかりやすく紹介します。
サイトを安全に守るために、今すぐチェックしておきましょう。
使い方から収益化までプロが教える
WordPressの教科書
「もう限界かもしれない…」
そんな思いで立ち止まっていませんか?
「収益が一向に増えず、事業を続ける意味に迷い始めている」
「クラウドソーシングや営業して稼げるか不安だ」
「収益化したいけれど、YouTubeや書籍では解決できなかった」
「WordPressでLP制作を頼まれるが、具体的な方法がわからない」
「広告を出稿したが、まったく成果が出なくて悩んでいる」
「仕事でグラフや資料制作を思うように作れない」
「独学の限界を感じ、でも何から学ぶべきかわからない」
これらの悩みを抱えているのは、
あなただけではありません。
多くのフリーランスや経営者が、
同じ壁にぶつかっています。
その壁を越えるための「本物の解決策」が、ここにあります。
私たちはこれまで、
数多くのフリーランスや経営者が収益化に成功するための
お手伝いをしてきました。
WordPressでホームページやブログを作るスキルだけでなく、
広告を最大限活用して集客し、
売上を上げるノウハウを惜しみなくお伝えします。
「成果が出る広告の作り方」
「売れるホームページを構築する秘訣」
「初心者でも成果を上げるための実践的なステップ」
これらを余すことなく提供するWordPressの教科書を、
今なら無料で受け取れます!
いまなら、先着300部限定で無料プレゼント付です。
目次
WordPressは狙われやすい?不正アクセス・ハッキング被害の実態
WordPressは世界中で利用されている分、脆弱性を突かれやすく、常にハッキングの標的となっています。
世界中で増加するWordPressサイトへの攻撃
世界中でWordPressサイトを狙ったサイバー攻撃が急増しています。
脆弱なプラグインや初期設定のままのログイン情報が狙われ、乗っ取りや改ざんといった被害が後を絶ちません。
被害にあったときの実例(改ざん・リダイレクト・バックドア)
被害の実例として、サイトが不正に改ざんされ広告ページにリダイレクトされたり、不正なバックドアが仕込まれて管理者権限を奪われるケースがあります。
気づかぬうちに検索順位の低下やアクセス減少を招くこともあります。
ハッキングされたサイトに起こることとは?
ハッキングされたWordPressサイトでは、不正広告や詐欺サイトへのリダイレクト、スパム投稿、個人情報の流出、さらには検索エンジンからの警告表示やインデックス削除といった深刻な被害が発生します。
不正アクセス・ハッキングの入口はここ!よく狙われる脆弱ポイント【重要】
WordPressサイトは設定の甘さや脆弱なプラグインを突かれ、ハッキング被害に遭いやすいのが現実です。
1. 古いプラグインやテーマの脆弱性★★★★★
古いプラグインやテーマには既知の脆弱性が残っていることが多く、攻撃者にとって格好の標的になります。
開発が止まっているものや更新されていないものは特に危険で、不正アクセスやマルウェア感染の原因になります。
2. 管理画面のID・パスワード流出★★★★★
管理画面のIDやパスワードが流出すると、第三者に不正ログインされ、
サイトの改ざんや情報の抜き取りが行われる恐れがあります。
使い回しのパスワードや簡単な文字列は特に危険で、総当たり攻撃の標的にもなります。
3. XML-RPCやREST APIの悪用★★★★
XML-RPCやREST APIは便利な機能ですが、設定や管理が甘いとブルートフォース攻撃や不正アクセスの温床になります。
特にXML-RPCの多重認証機能は攻撃者に悪用されやすく、負荷増加や情報漏えいのリスクが高まるため、不要な場合は無効化が推奨されます。
4. 不正ファイルのアップロード(wp-content経由)
攻撃者はwp-contentフォルダを狙い、不正なPHPファイルやスクリプトをアップロードしてバックドアを仕込みます。
これによりサイト管理権限を奪い、自由に操作可能になるため、
アップロード制限や権限設定の強化が必要です。
5. 外部サービス連携のセキュリティホール
外部サービスとの連携は利便性を高めますが、
不適切な設定や認証の甘さがセキュリティホールとなり得ます。
APIキーの漏洩や権限過剰付与により、不正アクセスや情報漏えいが発生するリスクがあるため、適切な管理と定期的な見直しが重要です。
サイトが不正アクセスやハッキングされたかもしれない時のチェックリスト
サイトがハッキングされた疑いがある場合、迅速に確認すべきポイントをチェックしましょう。
1. 突然ログインできなくなった
- パスワード変更の有無
- 管理者アカウントの状態
- データベースの異常
- エラーメッセージの確認
- セキュリティログの確認
- サーバーログの調査
2. サイトがリダイレクトされる/表示が崩れる
- 悪意あるコードや改ざんの有無
- .htaccessファイルの不正変更
- プラグインやテーマの不具合
- キャッシュの影響
- 外部スクリプトの読み込み状況を確認
3. 見覚えのないユーザーが管理者権限で追加されている
- 不正ログインやバックドアの有無を調査
- プラグインやテーマの脆弱性確認
- 管理画面のアクセス履歴を確認
- 不正ファイルの存在チェック
- パスワードの強化と二段階認証の導入を実施
4. Search Consoleやウイルス対策ソフトから警告が出る
- マルウェアや不正コードの検出状況
- 感染ファイルの特定
- サイトの改ざん箇所の確認
- プラグインやテーマの安全性チェック
- 直近の更新履歴の確認
- 速やかな修正と再審査申請
5. wp-content内に見慣れないPHPファイルがある
- ファイルの作成日時や更新日時の確認
- 内容のコード解析
- 不正なバックドアやマルウェアの有無を調査
- 公式プラグインやテーマ由来かどうかの確認
- 削除前に必ずバックアップを取る
今すぐできる!WordPress不正アクセスを防ぐ7つの対策
今すぐ実践できる、不正アクセスを防ぐ7つの基本対策でWordPressサイトの安全性を高めましょう。
自分では難しいとき専門家の保守サービスがおすすめ!
1. 管理画面URLを変更する(wp-login隠し)
- プラグイン(例:WPS Hide Login)をインストール・有効化
- 設定画面でログインURLを任意のものに変更
- 変更後のURLでログインできるか確認
- 古いURL(wp-login.php)へのアクセスが遮断されるかテスト
変更情報は関係者に共有し、忘れないように管理しましょう。
2. ログイン試行回数制限をかける
- 「Limit Login Attempts Reloaded」などのプラグインをインストール・有効化
- プラグインの設定画面を開く
- ログイン試行回数の上限とロック時間を設定
- 不正なログイン試行がブロックされるか確認
定期的にログイン履歴をチェックして安全を保ちましょう。
3. 二段階認証(2FA)を導入する
- 「Google Authenticator」や「Two Factor Authentication」プラグインをインストール・有効化
- プラグイン設定画面で2FAを有効化
- スマホの認証アプリでQRコードを読み取り連携
- ログイン時に認証コードの入力を求められることを確認
管理者全員に導入を周知し、セキュリティを強化しましょう。
4. 使用していないプラグイン・テーマは削除
- 管理画面の「プラグイン」または「外観>テーマ」へ移動
- 使用中でないプラグイン・テーマを確認
- それぞれ「停止」→「削除」を実行
- 削除後にサイト表示や機能に問題がないか確認
定期的に不要なものを整理し、セキュリティリスクを減らしましょう。
5. ファイル編集機能を無効にする(wp-config.php設定)
- サイトのルートにある「wp-config.php」をバックアップ
- 「wp-config.php」をテキストエディタで開く
- 以下のコードを追加
define('DISALLOW_FILE_EDIT', true); - ファイルを保存し、サーバーにアップロード
管理画面の「外観>テーマ編集」や「プラグイン編集」が無効化されているか確認しましょう。
6. データベース接頭辞を変更する
- 現在の接頭辞を確認(例:wp_)
- phpMyAdminなどで全テーブルの接頭辞を新しいものに一括変更
- wp-config.phpの$table_prefixを新接頭辞に書き換え
- プラグインやテーマの設定で接頭辞を参照している場合は修正
変更後、サイトが正常に動作するか確認しバックアップを忘れずに。
7. セキュリティプラグインを導入する(Wordfenceなど)
- 管理画面の「プラグイン>新規追加」で「Wordfence」などを検索
- プラグインをインストールして有効化
- 初期セットアップウィザードに従い基本設定を完了
- 定期スキャンやファイアウォール機能を有効化
警告通知の設定を行い、異常検知時にすぐ対応できるようにしましょう。
不正アクセス・ハッキング被害を最小限に抑える「緊急復旧」の基本フロー
万が一ハッキング被害に遭った場合でも、迅速な対応で被害を最小限に抑えるための基本フローを解説します。
1. すぐにサイトの公開を停止(メンテナンスモード)
被害が発覚したら、まずはサイトの公開を一時停止し、メンテナンスモードに切り替えましょう。
これにより被害の拡大や訪問者への影響を防げます。
プラグイン(例:WP Maintenance Mode)を使うと簡単に切り替えが可能です。
2. FTPで不審なファイルを削除・調査
FTPでサーバーに接続し、不審なPHPファイルや見慣れないディレクトリがないかを確認します。
特にwp-content、uploads、themes、plugins内は要チェック。
不正ファイルが見つかった場合は削除し、ログや更新日時から侵入経路も調査しましょう。
3. wp-config.phpや.htaccessを再確認・復元
wp-config.phpや.htaccessは不正に書き換えられやすいため、内容を確認し、怪しいコード(不明なリダイレクトやeval関数など)があれば削除します。
事前にバックアップを取っている場合は、正常な状態のファイルに差し替えて復元しましょう。
4. 管理者パスワード・DBパスワードの変更
不正アクセスの可能性がある場合は、すぐにWordPress管理者アカウントのパスワードを変更しましょう。
併せて、wp-config.phpに記載されているデータベース接続用のパスワードも変更し、データベース側でも新パスワードを設定することで、再侵入を防ぎます。
5. クリーンインストール+バックアップから復旧
感染が深刻な場合は、WordPress本体をクリーンインストールし、信頼できる時点のバックアップからテーマ・プラグイン・データベースを復元します。
これにより、不正なコードやファイルを完全に排除し、安全な状態で再稼働させることが可能です。
不正アクセス・ハッキング後のSEO・信頼回復に必要なこと
ハッキング被害後はSEO評価の低下や信頼喪失が避けられません。
早期に適切な対策を行い、回復を目指しましょう。
Googleへの再審査リクエスト(Search Console)
サイトの修正が完了したら、Google Search Consoleで「セキュリティの問題」ページから再審査をリクエストします。
マルウェアの除去や不正リンクの削除内容を正確に記載し、手動ペナルティの解除と検索結果での正常表示を目指しましょう。
ブラックリスト解除対応(McAfee, Norton など)
McAfeeやNortonなどにサイトがブラックリスト登録された場合は、各サービスのリポートページで該当URLを検索し、サイトの修正完了を報告して再審査を依頼します。
安全性が確認されれば、警告表示が解除され、信頼性が回復します。
サイト訪問者への周知・信頼回復対応
ハッキング被害後は、サイト訪問者に対して状況の説明と安全対策の完了を周知することが重要です。
トップページやお知らせ欄に復旧報告を掲載し、再発防止策も明記することで、ユーザーの信頼回復につながります。
常時SSL化・セキュリティポリシーの整備
常時SSL化は通信を暗号化し、第三者による盗聴や改ざんを防ぎます。
WordPressサイトではSSL証明書を導入し、全ページをHTTPS化しましょう。
また、社内のセキュリティポリシーを整備し、アクセス権限やパスワード管理のルールを明確にすることで安全性を高められます。
セキュリティ対策は「やっておけばよかった」では遅い~まとめ
WordPressサイトのセキュリティ対策は、被害に遭ってから慌てて行うのでは遅すぎます。
普段からの備えこそが、大切なサイトを守る鍵です。
以下のポイントをしっかり実践し、トラブルを未然に防ぎましょう。
- 管理画面のURL変更やログイン試行回数制限で不正アクセスを防止
- 強力なパスワードと二段階認証を設定しアカウントを守る
- 使用していないプラグインやテーマは削除し、脆弱性を減らす
- 定期的にWordPress本体・プラグイン・テーマを更新する
- セキュリティプラグインを導入して監視と防御を強化する
- 万が一のためにバックアップを自動化し、迅速な復旧に備える
- サイト全体を常時SSL化し、安全な通信環境を整える
これらを継続的に見直し、適切に管理することで、WordPressサイトの安全性は大幅に向上します。
被害に遭ってから後悔する前に、今すぐ対策を始めましょう。
WordPressの不正アクセスやハッキング対策が自分で難しいときは
「クイックレスキュー」
- 24時間365日対応で緊急時も安心
- 実績豊富な専門エンジニアが迅速に解決
- プラグイン・サーバー・セキュリティまで総合サポート
- 個人サイトから企業サイトまで対応可能
