よこやま良平
WordPressが改ざんされた時は、見えているページだけ直しても解決しません。ログインできない、トップページが書き換えられた、知らないリンクが入った場合は、ファイル・データベース・管理者権限の3方向から復旧する必要があります。
WordPress改ざん・マルウェア駆除の現場対応をしている、よこやま良平です。この記事では「改ざん被害」に絞って、確認・駆除・復旧・再発防止の順番を整理します。
- WordPress改ざん時に最初に確認する場所が分かる
- ログインできない状態からの復旧手順を整理できる
- マルウェア駆除で消してはいけないものを判断できる
- 再改ざんを防ぐ設定が分かる
改ざん被害は、トップページの見た目だけで判断できません。攻撃者は、管理者に気づかれにくい場所へバックドアを残すことがあります。
そのため、復旧は「表示を戻す」ではなく「侵入された状態を安全に戻す」作業です。この記事の順番に沿って、被害範囲を狭めながら確認してください。
こんなお悩みはありませんか?
- ある朝、サイトを開いたら真っ白画面になっていた
- 管理画面にログインできなくなって手が止まった
- 身に覚えのない記事やページが勝手に増えていた
- プラグインを更新したらサイト全体が崩れてしまった
- 以前バックアップを取ったか自分でも覚えていない
累計1,000件以上のWordPressトラブル対応の経験から、「壊れる前に備える」ためのチェックリストを1冊にまとめました。
ログイン・本体・バックアップ・サーバー・運用の5分野を、50項目で「危険度・確認方法・対処法」まで解説しています。
セキュリティプラグイン・WordPressの教科書も含めた3大特典を、
今なら無料で受け取れます。
目次
WordPress改ざんは表示修正より原因特定を優先する
結論として、WordPress改ざんではページを戻す前に、どこを触られたかを確認することが重要です。
改ざん箇所を記録する
まず、改ざんされたページ、表示された文言、不審なリンク、転送先URLを記録します。削除を急ぐと、侵入経路や被害範囲を追えなくなることがあります。
- 改ざんされたURL
- 表示されている不審な文言
- 追加された外部リンク
- 転送先のURL
- 発見した日時と直前の作業
サイト全体を一時的に保護する
顧客や読者に被害が及ぶ可能性がある場合は、メンテナンス表示やアクセス制限を検討します。特にフィッシングページやマルウェア配布が疑われる場合、公開したままの放置は危険です。
ただし、サーバー会社から停止されている場合は、先にバックアップと調査を進めます。無理に公開状態へ戻すより、安全確認が先です。
WordPress改ざんで確認すべきファイル
改ざん対応では、よく狙われるファイルを優先して確認すると効率的です。
.htaccessとwp-config.php
.htaccessはリダイレクト改ざん、wp-config.phpはデータベース接続情報や不審な読み込みの追加を確認します。どちらもサイト全体へ影響する重要ファイルです。
# 不審な外部URLへの転送がないか確認
RewriteEngine On
# RewriteRule ^(.*)$ https://unknown-example.tld/$1 [R=302,L]テーマのfunctions.php
functions.phpは、攻撃コードを混ぜ込まれやすい場所です。末尾に読めない長文コード、base64、eval、外部URLが追加されていないか確認します。
- base64_decodeの多用
- evalやgzinflateの組み合わせ
- 見覚えのない外部URL
- ランダムな変数名が大量にある
- 最終更新日が急に新しい
uploads内のPHPファイル
uploadsフォルダは本来、画像やPDFなどのアップロード先です。ここにPHPファイルがある場合、バックドアとして使われている可能性があります。
ただし、プラグインによっては一部ファイルを置く場合もあります。削除前にバックアップを取り、内容と配置理由を確認してください。
WordPressにログインできない改ざん時の復旧手順
管理画面に入れない改ざん被害では、サーバー側から安全に復旧する流れを取ります。
ファイルとデータベースをバックアップする
復旧前に、WordPressファイル一式とデータベースを保存します。感染済みでも、原因調査と復元比較のために必要です。
- WordPressファイル一式
- wp-content/uploads
- テーマフォルダ
- プラグインフォルダ
- データベース全体
公式ファイルへ差し替える
WordPress本体や配布元が明確なプラグインは、公式の正常ファイルへ差し替えると安全性が上がります。改ざんされたファイルを手作業で少しだけ直すより、正常ファイルへ戻す方が確実です。
独自カスタマイズがあるテーマは、差分確認をしてから戻します。制作会社や担当者がいる場合は、作業前に共有してください。
管理者権限を取り戻す
データベースのusersテーブルや管理画面から、知らない管理者を削除し、正しい管理者のパスワードを変更します。メールアドレスが書き換えられていないかも必ず確認します。
wp_users: 知らないユーザーがいないか
wp_usermeta: 管理者権限が不自然に付与されていないか
管理者メール: 見覚えのあるメールか
WordPressマルウェア駆除で見落としやすい場所
改ざんを消したつもりでも再発する場合、バックドアやデータベース内の不正コードが残っていることが多いです。
データベース内の不正リンク
投稿本文、ウィジェット、オプションテーブルに不審なscriptタグや外部リンクが入ることがあります。見た目だけ戻しても、データベースに残れば再表示されます。
script
iframe
base64
http://
薬品名・カジノ・偽ブランド系キーワードバックドアファイル
バックドアは、攻撃者が再侵入するための隠し入口です。ランダムなファイル名、画像に見せかけたPHP、古いプラグイン内の不審ファイルとして残ることがあります。
- 更新日時が周囲と違う
- ファイル名がランダム英数字
- 画像フォルダにPHPがある
- コードが極端に読みにくい
- 外部通信している
WordPress改ざんを再発させない防御策
改ざん復旧の最後は、同じ入口を塞ぐ作業です。ここを省くと、復旧しても再び書き換えられます。
更新・削除・パスワード変更
WordPress本体、プラグイン、テーマを更新し、使っていないものは削除します。管理者、FTP、サーバーパネル、データベースのパスワードも変更してください。
uploadsでPHPを動かさない
uploadsフォルダでPHPを実行できないようにすると、画像フォルダに置かれたバックドアの実行を防ぎやすくなります。クイックレスキュー365には、UploadsフォルダPHP動作禁止などの防御機能があります。
クイックレスキュー365は防御用プラグインであり、マルウェアスキャン機能はありません。感染確認にはスキャンツールや専門調査を併用してください。
WordPress改ざんのよくある質問
大丈夫とは言えません。改ざんはファイル、データベース、管理者権限に広がっていることがあるため、全体確認が必要です。
削除前にバックアップを取ってください。原因調査や復旧比較に必要な情報が消えると、再発防止が難しくなります。
サイト修復後、Search ConsoleでURL削除や再クロールを依頼します。検索結果の反映には時間がかかるため、先に感染除去を完了させてください。
WordPress改ざんとログイン不能の復旧まとめ
WordPressが改ざんされ、ログインできない時は、見た目の修正だけで終わらせないでください。ファイル、データベース、管理者権限、再発防止まで確認して初めて安全に戻せます。
- 改ざん箇所を記録する
- 作業前にバックアップを取る
- .htaccess・functions.php・uploadsを確認する
- 管理者権限とデータベースを確認する
- 復旧後に防御設定を入れる
WordPress改ざんが自分で直せない時は
ワードプレスのWordPressエラートラブル解決をしたいなら
クイックレスキューが解決します。
- WordPressにログインできない
- 管理画面が真っ白・リダイレクトされる
- ホームページのマルウェアや乗っ取りが疑わしい
- サイトの表示くずれや改ざんを戻したい
- エラーが表示されている
これらでお悩みなら最短30分ですぐに解決します!
いまなら期間限定で
・万一改善されない場合は全額返金保証で安心!
・30日間動作保証で安心!
・初期費・調査料 0円で安心!