よこやま良平
WordPressのハッキングに気づいた直後は、復旧作業より先に「証拠保全」と「止血」を行う必要があります。慌てて怪しいファイルを削除すると、侵入経路や被害範囲がわからなくなり、再感染の原因を残すことがあります。
WordPressの不正アクセス復旧を現場で対応している、よこやま良平です。発覚直後の数十分で、復旧の速さだけでなく再発防止の精度も大きく変わります。
- ハッキング発覚直後に最初にやることがわかる
- 証拠を消さずに被害拡大を止める手順がわかる
- サーバー会社・制作会社・顧客へ連絡する判断基準がわかる
- 復旧依頼前にまとめるべき情報が整理できる
ハッキング対応で一番危険なのは、善意の自己判断でログや感染ファイルを消してしまうことです。見た目だけ戻っても、バックドアが残れば数日後にまた改ざんされます。
この記事では、発覚直後の初期対応をチェックリスト化します。証拠保全、止血、連絡判断、復旧準備の順に進めれば、被害拡大を抑えながら安全な復旧につなげられます。
こんなお悩みはありませんか?
- ある朝、サイトを開いたら真っ白画面になっていた
- 管理画面にログインできなくなって手が止まった
- 身に覚えのない記事やページが勝手に増えていた
- プラグインを更新したらサイト全体が崩れてしまった
- 以前バックアップを取ったか自分でも覚えていない
累計1,000件以上のWordPressトラブル対応の経験から、「壊れる前に備える」ためのチェックリストを1冊にまとめました。
ログイン・本体・バックアップ・サーバー・運用の5分野を、50項目で「危険度・確認方法・対処法」まで解説しています。
セキュリティプラグイン・WordPressの教科書も含めた3大特典を、
今なら無料で受け取れます。
目次
WordPressハッキング発覚直後は証拠保全を最優先する
結論として、最初に行うべきことは削除ではなく保存です。画面、ファイル、ログ、ユーザー情報を残しておくことで、侵入経路と被害範囲を後から追えます。
改ざん画面と不審URLを保存する
トップページが別サイトへ飛ぶ、検索結果に知らないタイトルが出る、警告画面が出る場合は、スクリーンショットとURLを保存します。スマホとPCで表示が違うケースもあるため、複数環境で確認できると判断材料が増えます。
- 改ざんされたページのURLとスクリーンショット
- Google検索結果や警告画面のスクリーンショット
- 発覚した日時と直前の更新作業
- 管理者ユーザー一覧
- サーバーのアクセスログとエラーログ
ファイルとデータベースの現状バックアップを取る
感染している状態でも、現状バックアップは重要です。きれいなバックアップとは別に、侵害時点のファイルとDBを保存しておくと、後から差分調査ができます。
tar -czf hacked-files-$(date +%Y%m%d).tar.gz public_html
mysqldump -u DB_USER -p DB_NAME > hacked-db-$(date +%Y%m%d).sqlコマンドが使えない場合は、サーバーのバックアップ機能やファイルマネージャーで取得します。バックアップ名に日付と状態を入れ、復旧用の正常バックアップと混ぜないようにしてください。
WordPressハッキングの止血は公開範囲と実行権限を絞る
証拠を残したら、次は被害拡大を止めます。止血とは、サイトを完全に壊すことではなく、攻撃者が追加操作できる経路を一時的に狭めることです。
管理者パスワードと接続情報を変更する
管理画面に入れる場合は、管理者パスワードを変更します。同時に、サーバーパネル、FTP/SFTP、データベース、メール、WordPress管理者のパスワードも見直します。WordPressだけ変えても、FTPが漏れていれば再改ざんされます。
- サーバーパネル
- FTP/SFTP/SSH
- データベースユーザー
- WordPress管理者
- 関連メールアカウント
uploads内PHPの実行を止める
マルウェアは wp-content/uploads に置かれることがあります。画像フォルダにPHPがある場合、外部から実行されて再感染の起点になるため、実行を止める対策が有効です。
<FilesMatch "\.php$">
Require all denied
</FilesMatch>この設定はuploads配下など、PHPを実行しない場所で使います。設置場所を間違えるとWordPress本体が動かなくなるため、ディレクトリを確認してから適用してください。
WordPressハッキング時に削除してはいけないもの
初期対応では、怪しいものをすぐ消したくなります。しかし削除でログやタイムスタンプが失われると、攻撃の入口が見えなくなります。削除は記録とバックアップの後です。
.htaccessやwp-config.phpはコピーしてから確認する
.htaccess には不正リダイレクト、wp-config.php には不審な読み込み処理が追加されることがあります。どちらも重要ファイルなので、作業前にコピーして差分を確認します。
require_once ABSPATH . "wp-admin/includes/file.php";
// 見覚えのない外部URL読み込みや難読化された長い文字列がないか確認- アクセスログ・エラーログ
- 不審なPHPファイル
- 改ざんされた.htaccess
- 変更されたwp-config.php
- 知らない管理者ユーザーの記録
怪しい管理者ユーザーも記録してから無効化する
wp_users に知らないユーザーがいる場合、削除前にID、メール、登録日時、権限を控えます。wp_usermeta の権限情報も合わせて見れば、権限奪取の痕跡を追いやすくなります。
SELECT ID, user_login, user_email, user_registered FROM wp_users;
SELECT user_id, meta_key, meta_value FROM wp_usermeta WHERE meta_key LIKE "%capabilities%";WordPressハッキングで連絡が必要な相手を判断する
ハッキング対応は技術作業だけではありません。個人情報、決済情報、顧客サイト、広告運用、メール配信に関係する場合は、関係者への連絡判断が必要です。
サーバー会社へ確認するケース
サーバー会社から警告が来ている、メール送信が止められた、WAFログに大量検知がある、アカウント停止の予告がある場合は早めに連絡します。サーバー側で隔離やログ提供が可能な場合もあります。
- 対象ドメイン
- 発覚日時
- 表示されている症状
- 自分で実施した作業
- 必要なログの期間
顧客・制作会社・広告担当へ連絡するケース
EC、会員サイト、問い合わせフォーム、広告LPの場合、影響範囲が広がりやすいです。勝手に公開停止すると売上に影響しますが、放置するとユーザー被害が出る可能性があります。運用責任者と相談し、メンテナンス表示や広告停止を判断します。
WordPressハッキング復旧へ進む前のチェックリスト
復旧作業に入る前に、最低限の情報をそろえます。ここが曖昧なまま復旧すると、見た目だけ戻して再感染する危険があります。
- 現状バックアップを保存した
- 改ざん画面とURLを記録した
- アクセスログとエラーログを確保した
- 管理者ユーザー一覧を控えた
- サーバー/FTP/DB/WordPressのパスワードを変更した
- uploads内PHPや不審ファイルを確認した
- 公開停止・連絡・広告停止の判断を行った
- WordPress管理者ログイン可否
- サーバーパネルの種類
- 発覚日時と症状
- 直近の更新作業
- バックアップの有無
- Google警告や検索結果の異常
WordPressハッキング初期対応のよくある質問
ユーザー被害が出る状態なら一時停止を検討します。ただし証拠保全前に全削除するのは避け、状態を保存してから止血してください。
現状バックアップと記録を取ってから対応します。削除だけではバックドアや侵入経路が残ることがあるため、全体調査が必要です。
サーバー会社は停止解除やログ提供までは対応しても、WordPress内部の復旧は対象外のことが多いです。役割を分けて相談しましょう。
WordPressハッキング発覚直後の初期対応まとめ
ハッキング発覚直後は、削除より証拠保全、復旧より止血が先です。画面、ログ、ファイル、データベース、ユーザー情報を保存し、攻撃者の追加操作を止めてから復旧へ進みます。
- まず証拠を保存する
- 次にパスワード変更と実行権限制限で止血する
- 削除はバックアップと記録の後に行う
- 連絡が必要な相手を早めに判断する
- 見た目の復旧だけで終わらせない
初動を間違えなければ、復旧後の再発防止まで進めやすくなります。迷った時は、証拠を消さずに専門家へ相談してください。
WordPressのハッキング対応が自分で直せない時は
ワードプレスのWordPressエラートラブル解決をしたいなら
クイックレスキューが解決します。
・WordPressが真っ白画面
・WordPressがログインできない
・ホームページのマルウェアや乗っ取り
・サイトの表示くずれ
・エラーが表示されている
これらでお悩みなら最短30分ですぐに解決します!
いまなら期間限定で
・万一改善されない場合は全額返金保証で安心!
・30日間動作保証で安心!
・初期費・調査料 0円で安心!