よこやま良平
「自分のサイトが、知らない誰かに乗っ取られていた…」
そんな恐ろしい現実が、今まさにあなたのWordPressで起きているかもしれません。
・突然、見知らぬサイトにリダイレクトされる
・ログインできない/管理画面が変わっている
・Googleから危険なサイトと警告される
これらはすべて、“ハッキングされたサイトに現れる典型的な症状”です。
この記事では、ハッキング被害の確認方法から、
初心者でも実践できる緊急対応・復旧手順・再発防止策までを完全網羅。
「何から手をつければいいのか分からない」という状態でも、
この記事を読めば光が見えてきます。
あなたの大切なサイトを守るために――今すぐ行動を始めてください。
この記事では、初心者の方でもわかるように、
- リダイレクトの仕組みや原因
- 具体的な復旧手順
- 予防策
を丁寧に解説します。
大切なあなたのサイトを守るために、今すぐチェックして対処を始めましょう!
こんなお悩みはありませんか?
- ある朝、サイトを開いたら真っ白画面になっていた
- 管理画面にログインできなくなって手が止まった
- 身に覚えのない記事やページが勝手に増えていた
- プラグインを更新したらサイト全体が崩れてしまった
- 以前バックアップを取ったか自分でも覚えていない
累計1,000件以上のWordPressトラブル対応の経験から、「壊れる前に備える」ためのチェックリストを1冊にまとめました。
ログイン・本体・バックアップ・サーバー・運用の5分野を、50項目で「危険度・確認方法・対処法」まで解説しています。
セキュリティプラグイン・WordPressの教科書も含めた3大特典を、
今なら無料で受け取れます。
目次
- 1 WordPressリダイレクトハッキングとは?被害の現状とリスク
- 2 WordPressリダイレクトハッキングの主な症状と見分け方
- 3 WordPressリダイレクトハッキングの主な原因
- 4 WordPressリダイレクトハッキング被害発覚後の緊急対応フロー
- 5 WordPressリダイレクトハッキング復旧の具体的手順
- 6 リダイレクトハッキング再発防止のためのセキュリティ対策
- 7 リダイレクトハッキング実際の復旧事例3つ
- 8 よくあるトラブルQ&A
- 9 リダイレクトハッキング専門業者への相談が必要なケースと選び方
- 10 リダイレクトハッキングからサイトを守るために【まとめ】
- 11 WordPressリダイレクトハッキング対策が自分できないときは
WordPressリダイレクトハッキングとは?被害の現状とリスク
リダイレクトハッキングとは、WordPressサイトが改ざんされ、訪問者が意図しない外部の広告サイトやフィッシングページなどに自動転送されてしまうサイバー攻撃の一種です。
多くの場合、悪意あるコードがテーマやプラグイン、データベースに仕込まれ、ユーザーが気づかないうちに発生します。
被害を放置すると、SEO評価の大幅低下やGoogleからの警告表示、さらには訪問者の情報流出など深刻なリスクにつながるため、早急な対応が必要です。
WordPressリダイレクトハッキングの主な症状と見分け方
リダイレクトハッキングは、サイト訪問時に別サイトへ勝手に転送されるのが主な症状です。
特定の条件でのみ発生することもあり、発見が遅れがちです。
サイトが勝手に別サイトへ転送される
リダイレクトハッキングの主な症状は、WordPressサイトにアクセスすると突然関係のない広告サイトや詐欺サイトに転送されることです。
特にスマホや特定のブラウザでのみ発生する場合もあり、管理者が気づきにくいのが特徴です。
- 別の端末やシークレットモードでサイトを確認
- Googleのセーフブラウジング診断を使う
Google検索結果から変なサイトに飛ばされる
Google検索から自分のWordPressサイトを開くと、別の怪しいサイトに転送される場合は、検索結果ページ(SERP)だけを狙ったリダイレクトハッキングの可能性があります。
これは検索エンジン経由の訪問者だけをターゲットにしているため、普段のアクセスでは気づきにくいのが特徴です。
- 自分のサイト名をGoogleで検索し、検索結果からアクセスして確認する
管理画面や特定ページだけリダイレクトされる
管理画面(wp-admin)や特定の投稿・固定ページだけが別サイトにリダイレクトされる場合、ファイルやデータベースの一部が改ざんされている可能性があります。
すべてのページではなく一部のみ発生するため、通常の操作では見逃しやすいのが特徴です。
- 管理画面へのログイン時や特定ページのURLを直接開いて挙動を確認する
WordPressリダイレクトハッキングの主な原因
リダイレクトハッキングの主な原因を解説していきます。
マルウェア・ウイルス感染
マルウェアやウイルスに感染すると、WordPressのファイルやデータベースに悪意あるコードが埋め込まれ、訪問者が別サイトにリダイレクトされる仕組みが作られます。
多くはテーマやプラグイン、アップロードフォルダに侵入し、気づかれにくい形で動作します。
感染経路には、脆弱なプラグインの利用や古いバージョンのWordPressのまま放置することがあり、定期的なウイルススキャンと更新作業が対策の第一歩です。
プラグインやテーマの脆弱性
WordPressのプラグインやテーマに含まれる脆弱性は、リダイレクトハッキングの大きな原因の一つです。
特に開発が停止しているものや、長期間アップデートされていないものは攻撃対象になりやすく、そこから不正アクセスされ悪意あるコードを埋め込まれるケースがあります。
信頼性の高い開発元のプラグインを使い、常に最新のバージョンに保つことが重要です。
不要なプラグインやテーマは削除するのが安全です。
.htaccessやwp-config.phpの改ざん
リダイレクトハッキングでは、.htaccessやwp-config.phpといった重要ファイルが改ざんされることがあります。
.htaccessに不正なリダイレクトコードを追加されると、訪問者が強制的に別サイトに飛ばされます。
また、wp-config.phpを改ざんされると、さらに深刻な被害につながる可能性があります。
これらのファイルに不審なコードや見慣れない記述がないかを定期的に確認することが、被害の早期発見につながります。
JavaScriptなど外部コードの挿入
リダイレクトハッキングでは、投稿記事やウィジェット、テーマファイルに悪意あるJavaScriptコードが埋め込まれることがあります。
このコードが読み込まれると、訪問者は自動的に外部の不正サイトへ転送されてしまいます。
特に不正な広告コードやiframeが使われるケースが多く、見た目では気づきにくいのが特徴です。
不審なスクリプトがないか、ソースコードや記事編集画面で確認することが重要です。
WordPressリダイレクトハッキング被害発覚後の緊急対応フロー
リダイレクト被害が発覚したら、迅速な対応が重要です。
被害拡大を防ぐために、まず行うべきことをまとめました。
サイトの一時停止・アクセス制限
リダイレクト被害が発覚したら、まずサイトを一時的に停止し、訪問者への被害拡大を防ぐことが最優先です。
WordPressのメンテナンスモードを有効にするか、.htaccessで全体をパスワード制限する方法があります。
また、管理者以外のアクセスを制限することで、不正なリダイレクトの拡散やGoogleのペナルティを最小限に抑えることができます。
まずはサイトを「閉じる」勇気が、正しい復旧の第一歩です。
バックアップの取得と保全
リダイレクト被害が確認されたら、まず現在の状態のバックアップを取得しましょう。
不正なコードやファイルが含まれていても、証拠として保全することで原因特定や今後の対策に役立ちます。
FTPやサーバーパネルから「ファイル」と「データベース」の両方を保存しておくのが重要です。
万が一の復旧ミスや二次被害に備えるためにも、感染状態のバックアップは削除せず、別場所に安全に保管しておきましょう。
パスワード・認証情報の即時変更
リダイレクト被害が発覚したら、速やかにWordPress管理画面やサーバー、FTP、データベースのパスワードをすべて変更しましょう。
不正アクセスのリスクを減らすため、推測されにくい強力なパスワードを設定することが重要です。
また、可能であれば二段階認証を有効化し、認証情報の漏えいを防止してください。
これにより、攻撃者の再侵入を防ぎ、サイトの安全性を高める第一歩となります。
WordPressリダイレクトハッキング復旧の具体的手順
リダイレクトハッキングの復旧は原因特定から始まり、ファイル修正や不要コードの除去など段階的に進めます。
初心者でも安心の手順を解説します。
1. 不正なコード・ファイルの特定と削除
以下の手順で不正なコードやファイルを特定・削除します。
- ブラウザでページソースを確認
- 不審なJavaScriptやiframeがないか確認
- テーマファイルを精査
- header.phpやfooter.phpなどに不正コードが埋め込まれやすい
- プラグインフォルダの確認
- 見慣れないファイルや変更された日付に注意
- .htaccessファイルの確認
- 不正なリダイレクト設定が追加されていないか確認
- ウイルススキャンツールを活用
- Wordfenceなどのセキュリティプラグインでスキャンし、検出されたファイルを削除または修復
2. .htaccess・wp-config.phpの修正方法
以下の手順で.htaccessおよびwp-config.phpの不正コードを修正します。
- .htaccessの確認
- 不審なリダイレクトやRewriteRuleを削除
- .htaccessの初期化
- 必要に応じてWordPress標準の内容に書き換える
- wp-config.phpの確認
- 不明な関数や外部スクリプトの読み込みがないか確認
- バックアップと比較
- 正常なバックアップと差分を確認し、改ざん箇所を修正
- 修正後は保存して再アップロード
- FTPで正しいファイルを上書きして反映
3. プラグイン・テーマの再インストール
以下の手順でプラグイン・テーマを安全に再インストールします。
- すべてのプラグインを一時停止
- 使用中のテーマ・プラグインを削除(設定はデータベースに残る場合あり)
- 公式ディレクトリから最新版を再インストール
- 不要・使っていないものは削除
- 再インストール後、再度不審な動作がないか確認
- 必要に応じて設定を再調整
※信頼できる配布元のみからダウンロードしてください。
4. マルウェアスキャンと駆除ツールの活用
以下の手順でマルウェアスキャンと駆除を行います。
- WordfenceやAll-In-One Securityなどのセキュリティプラグインを導入
- サイト全体をスキャンして、不正ファイルやコードを検出
- 感染ファイルの修復または削除を実施(自動・手動選択可能)
- 管理画面に入れない場合はFTP経由でプラグインを導入し対処
- スキャン後も定期的な監視を継続し、再感染を防止
信頼性の高いツールを使い、安全に駆除しましょう。
5. Google Search Consoleでの再審査申請
以下の手順でGoogle Search Consoleから再審査を申請します。
- Search Consoleにログインし、該当プロパティを選択
- 「セキュリティの問題」レポートを確認し、警告内容を把握
- サイトの修正が完了していることを確認(不正コードやファイルの除去)
- 「再審査をリクエスト」ボタンをクリックし、修正内容を具体的に記入して送信
- 審査結果を数日~1週間ほど待つ
誠実かつ具体的な説明を添えると、審査通過率が高まります。
リダイレクトハッキング再発防止のためのセキュリティ対策
リダイレクトハッキングを防ぐには、復旧後のセキュリティ強化が不可欠です。
基本設定の見直しやツールの活用で、再発リスクを大幅に下げることができます。
WordPress・プラグイン・テーマの定期アップデート
WordPress本体やプラグイン、テーマの定期アップデートは、脆弱性を悪用されるリスクを防ぐ基本対策です。常に最新版を保ち、攻撃の入口を減らしましょう。
セキュリティプラグイン・WAFの導入
セキュリティプラグインやWAF(Web Application Firewall)の導入は、不正アクセスやマルウェアを自動検出・防御する効果的な対策です。
早期導入がおすすめです。
二段階認証とログイン制限の設定
二段階認証とログイン試行回数の制限を設定することで、不正ログインのリスクを大幅に減らせます。
特に管理者アカウントには必ず導入しましょう。
定期的なバックアップと監視の重要性
定期的なバックアップと監視は、万が一の攻撃時に迅速な復旧を可能にし、被害を最小限に抑えます。
自動化ツールの活用で手間なく安全対策が行えます。
リダイレクトハッキング実際の復旧事例3つ
代表的なWordPressリダイレクトハッキングの復旧事例3つです。
どれも初期発見と迅速な対応がカギでした。
1:テーマファイルの改ざんによるリダイレクト
テーマのheader.phpに不正なJavaScriptが埋め込まれていたため、該当コードを削除し、テーマを公式版に差し替えて復旧。
2:.htaccessファイルのリダイレクトコード挿入
.htaccessに外部サイトへ飛ばすリダイレクト設定が追加されていた。
元の標準設定に戻して問題解決。
3:脆弱なプラグイン経由での感染
古いプラグインによりバックドアが作られていたため、該当プラグインを削除し、セキュリティプラグインで全ファイルをスキャンして駆除。
よくあるトラブルQ&A
よく寄せられる質問をまとめました。
初めての方でも安心して対応できるよう、基本的な疑問をわかりやすく解説します。
Q1: サイトが勝手にリダイレクトされる原因は何ですか?
A: 多くはテーマやプラグインの脆弱性、.htaccessの改ざん、悪意あるJavaScriptコードの挿入によるものです。最新版への更新や不審コードの確認が重要です。
Q2: 管理画面にログインできなくなりました。どうすればいいですか?
A: FTPやサーバーのファイルマネージャーから.htaccessやプラグインフォルダを一時的にリネームし、不正コードを無効化してからログインを試みましょう。
Q3: 復旧後、再度リダイレクトが発生しました。何が原因でしょう?
A: パスワード漏洩やバックドアが残っている可能性があります。パスワード変更、セキュリティプラグイン導入、全ファイルの再スキャンを徹底してください。
リダイレクトハッキング専門業者への相談が必要なケースと選び方
リダイレクトハッキングが広範囲に及び、自力での復旧が難しい場合や、管理画面にアクセスできない、感染の原因が特定できない場合は専門業者への相談が必要です。
業者を選ぶ際は、WordPressのセキュリティ実績が豊富で、対応実例や口コミが信頼できるところを選びましょう。
また、対応内容や費用、アフターサポートの有無を事前に確認することも重要です。
リダイレクトハッキングからサイトを守るために【まとめ】
リダイレクトハッキングは放置するとSEO低下や訪問者離れ、さらには情報漏えいのリスクも高まります。早期発見と迅速な対応が何より重要です。
この記事で紹介したポイントを押さえて、大切なWordPressサイトを守りましょう。
- 不正コードや改ざんファイルの早期発見と削除
- .htaccessやwp-config.phpの定期チェック
- プラグイン・テーマは最新版にアップデート
- 強力なパスワード設定と二段階認証の導入
- セキュリティプラグインやWAFの活用
- 定期的なバックアップと監視を欠かさない
安全なサイト運営には日頃の対策と継続的なメンテナンスが不可欠です。
問題を感じたらすぐ行動しましょう。
WordPressリダイレクトハッキング対策が自分できないときは
ワードプレスのWordPressエラートラブル解決をしたいなら
クイックレスキューが解決します。
・WordPressが真っ白画面
・WordPressがログインできない
・ホームページのマルウェアや乗っ取り
・サイトの表示くずれ
・エラーが表示されている
これらでお悩みなら最短30分ですぐに解決します!
いまなら期間限定で
・万一改善されない場合は全額返金保証で安心!
・30日間動作保証で安心!
・調査料、キャンセル料 0円で安心!