よこやま良平
「WordPressが重い」「知らないユーザーがいる気がする」「検索結果の表示が変」など、まだハッキングと断定できない段階では、慌てて削除するより確認順序が大切です。証拠を消すと原因が追えなくなります。
WordPressの復旧・保守を行っている、よこやま良平です。ハッキング疑いの相談では、まず事実確認リストを使い、通常トラブルと侵害の境目を見極めています。
- ハッキング疑いの段階で確認すべき項目がわかる
- 管理画面・ファイル・DB・ログの見方がわかる
- すぐ削除してよいものと保留すべきものを切り分けられる
- 専門家へ相談する時に伝える情報を整理できる
この記事は「まだ確定していない人向け」の確認リストです。ウイルス名を特定する記事ではなく、被害の有無を判断するための見取り図として使ってください。
結論は、管理画面の違和感、ファイルの更新日時、DBの管理者、error_log、検索結果の異常を順番に確認することです。ひとつだけで断定せず、複数のサインが重なるかを見ます。
こんなお悩みはありませんか?
- ある朝、サイトを開いたら真っ白画面になっていた
- 管理画面にログインできなくなって手が止まった
- 身に覚えのない記事やページが勝手に増えていた
- プラグインを更新したらサイト全体が崩れてしまった
- 以前バックアップを取ったか自分でも覚えていない
累計1,000件以上のWordPressトラブル対応の経験から、「壊れる前に備える」ためのチェックリストを1冊にまとめました。
ログイン・本体・バックアップ・サーバー・運用の5分野を、50項目で「危険度・確認方法・対処法」まで解説しています。
セキュリティプラグイン・WordPressの教科書も含めた3大特典を、
今なら無料で受け取れます。
目次
WordPressハッキング疑いで最初に確認する症状
最初の結論は、目に見える症状を時系列でメモすることです。いつから、誰が、どの画面で気づいたのかが後の原因調査に効きます。
管理画面と公開ページの違和感を見る
ログインできる場合は、ユーザー一覧、プラグイン一覧、テーマエディター、最近更新された投稿を確認します。公開ページでは、スマホだけリダイレクトされる、検索経由だけ別サイトへ飛ぶなど条件付きの改ざんに注意します。
- 発見日時と最後に正常確認した日時
- 表示されたエラー文や転送先URL
- 直前に更新したプラグイン・テーマ
- 作業した担当者と操作内容
- サーバー会社から届いた警告メール
ブラウザだけで判断しない
キャッシュやCDNの影響で、管理者には正常に見えて訪問者には改ざんが見える場合があります。シークレットウィンドウ、スマホ回線、別ブラウザで確認し、同じ症状が出るか比べます。
WordPressハッキング疑いのファイル確認リスト
ファイル確認の結論は、最近変更されたPHPと、本来PHPが不要な場所を優先することです。全ファイルを目視するのではなく、怪しい場所から絞り込みます。
uploads内PHPと不審な拡張子を探す
wp-content/uploadsは画像やPDFが中心の場所です。ここに.php、.phtml、.pharがある場合は強く疑います。ファイル名が画像風でも中身がPHPのケースがあるため、拡張子だけでなく内容も確認します。
find wp-content/uploads \( -name "*.php" -o -name "*.phtml" -o -name "*.phar" \) -printpluginsとthemesの更新日時を確認する
wp-content/pluginsに見覚えのないフォルダが増えている、テーマのfunctions.php末尾に長い難読化コードがある、index.phpが大量に置かれている場合は注意が必要です。正規プラグインのファイルに追記されることもあります。
find wp-content/plugins wp-content/themes -type f -mtime -30 -print- 削除前にファイルをダウンロードして保管する
- 更新日時だけで正常・異常を決めない
- 公式プラグインの上書きで復旧できるか確認する
- 不審コードをブラウザで開いて実行しない
WordPressハッキング疑いのDB確認リスト
DB確認の結論は、管理者ユーザーとサイトURL、投稿本文に不審な変更がないかを見ることです。ファイルが正常でもDBに悪質なscriptが入るケースがあります。
wp_usersとwp_usermetaを見る
見覚えのないユーザー、メールアドレスが自社ドメインでない管理者、登録日時が深夜のユーザーは確認対象です。wp_usermetaのcapabilitiesでadministrator権限が付いていないかも見ます。
SELECT ID,user_login,user_email,user_registered FROM wp_users ORDER BY user_registered DESC;
SELECT user_id,meta_value FROM wp_usermeta WHERE meta_key LIKE "%capabilities%";siteurl・home・投稿内scriptを確認する
wp_optionsのsiteurlやhomeが変更されると、ログイン先や表示先が変わります。また投稿本文やウィジェットに外部scriptが埋め込まれる改ざんもあります。
SELECT option_name,option_value FROM wp_options WHERE option_name IN ("siteurl","home");
SELECT ID,post_title FROM wp_posts WHERE post_content LIKE "%<script%";- 管理者ユーザーの増減
- administrator権限の付与先
- siteurlとhomeの値
- 投稿本文や固定ページの不審なscript
- 不自然に増えたリダイレクト設定
WordPressハッキング疑いのログ確認リスト
ログ確認の結論は、攻撃の入口を推測するためにerror_logとアクセスログを見ることです。ログは時間が経つとローテーションで消えるため、早めに保存します。
error_logでPHPエラーと不審パスを見る
error_logには、存在しないプラグインへのアクセス、uploads内PHPの実行、古いプラグインの脆弱性を突いた形跡が残ることがあります。エラーが多いファイルは優先調査の候補です。
PHP Fatal error: Uncaught Error in /wp-content/plugins/unknown/file.php
POST /wp-content/uploads/2026/05/a.php
PHP Warning: include(/tmp/...)アクセスログでPOST先を確認する
wp-login.phpへの大量アクセスだけでなく、admin-ajax.php、xmlrpc.php、特定プラグインのファイルへのPOSTが続いていないか確認します。攻撃元IPが明確なら一時的な拒否も検討します。
- 攻撃が続いているか
- 狙われたプラグインやURL
- 最初の侵入時刻の推定
- 国外IPや特定IPの集中アクセス
よくある質問
確定ではありません。誤検知もあります。ただし警告箇所、更新日時、DB変更、ログの異常が重なる場合は侵害の可能性が高くなります。
SEOスパム改ざんの可能性があります。投稿本文、テーマファイル、.htaccess、検索エンジン向けの条件分岐を確認してください。
訪問者を危険サイトへ転送している、マルウェア配布の疑いがある場合はメンテナンス表示を優先します。軽微な疑いなら証拠保全を先に行います。
WordPressハッキング疑いの確認リストまとめ
ハッキング疑いの段階では、断定よりも確認順序が大切です。管理画面、ファイル、DB、ログ、検索結果を同じ時系列で見れば、通常トラブルか侵害かを判断しやすくなります。
- 症状を時系列で記録する
- uploads内PHPと最近更新ファイルを探す
- wp_usersとwp_usermetaで管理者を確認する
- error_logとアクセスログを保存する
- 危険が高い場合は早めに専門家へ相談する
WordPressのハッキング疑いをプロに確認してほしい時は
ワードプレスのWordPressエラートラブル解決をしたいなら
クイックレスキューが解決します。
・WordPressが真っ白画面
・WordPressがログインできない
・ホームページのマルウェアや乗っ取り
・サイトの表示くずれ
・エラーが表示されている
これらでお悩みなら最短30分ですぐに解決します!
いまなら期間限定で
・万一改善されない場合は全額返金保証で安心!
・30日間動作保証で安心!
・初期費・調査料 0円で安心!