よこやま良平
「サイトが急におかしい……でも改ざんされているのかどうかわからない」そんな不安を感じていませんか?自分のWordPressが改ざんされているかどうかを確認したくて、何から手をつければいいか迷っている方も多いはずです。
改ざんは発覚が遅れるほど被害が広がります。Googleからの警告表示、検索順位の急落、顧客情報の漏えい——どれも取り返しのつかない事態に発展する可能性があります。
この記事では、改ざんを確認するための具体的なチェック手順を、初心者でもわかるように順を追って解説します。「自分のサイトは大丈夫か」を今すぐ確認してみてください。
WordPressの復旧を多数手がけてきたよこやま良平です。改ざん被害は「気づかないうちに進行している」ケースが非常に多いです。わたしの現場経験をもとに、正確なチェック方法と発見後の対処手順を解説します。
- WordPress改ざんが疑われる主な症状と見分け方
- 改ざんを確認するための具体的なチェック手順(7ステップ)
- 改ざんが見つかった場合の初動対応と復旧の進め方
- 改ざんを未然に防ぐためのセキュリティ対策
- 自分のWordPressが改ざんされているかどうかを確認できる
- 改ざん発見後の正しい初動対応が取れる
- 同じ被害に遭わないための対策が講じられる
改ざんは早期発見が最大の防御です。
まずは「改ざんが疑われるサイン」を知るところから始めましょう。
使い方から収益化までプロが教える
WordPressの教科書
「もう限界かもしれない…」
そんな思いで立ち止まっていませんか?
「収益が一向に増えず、事業を続ける意味に迷い始めている」
「クラウドソーシングや営業して稼げるか不安だ」
「収益化したいけれど、YouTubeや書籍では解決できなかった」
「WordPressでLP制作を頼まれるが、具体的な方法がわからない」
「広告を出稿したが、まったく成果が出なくて悩んでいる」
「仕事でグラフや資料制作を思うように作れない」
「独学の限界を感じ、でも何から学ぶべきかわからない」
これらの悩みを抱えているのは、
あなただけではありません。
多くのフリーランスや経営者が、
同じ壁にぶつかっています。
その壁を越えるための「本物の解決策」が、ここにあります。
私たちはこれまで、
数多くのフリーランスや経営者が収益化に成功するための
お手伝いをしてきました。
WordPressでホームページやブログを作るスキルだけでなく、
広告を最大限活用して集客し、
売上を上げるノウハウを惜しみなくお伝えします。
「成果が出る広告の作り方」
「売れるホームページを構築する秘訣」
「初心者でも成果を上げるための実践的なステップ」
これらを余すことなく提供するWordPressの教科書を、
今なら無料で受け取れます!
いまなら、先着300部限定で無料プレゼント付です。
目次
WordPress改ざんとは何か|どんな状態になるのか
改ざんとは、攻撃者が不正にWordPressへアクセスしてサイトのコンテンツやファイルを書き換える行為です。単に見た目が変わるだけでなく、スパムリンクの埋め込み・マルウェアの配布・フィッシングページへの誘導など、訪問者にも被害が及ぶ深刻なケースがあります。
改ざんが疑われる主なサイン
以下のいずれかに当てはまる場合、改ざんの可能性があります。気になる項目があれば、後述のチェック手順で詳しく確認してください。
- サイトのトップページや記事ページが見覚えのないデザイン・文章に変わっている
- クリックすると別のサイト(賭博・アダルト・詐欺サイト等)に飛ばされる
- Chromeなどのブラウザに「このサイトは危険です」という赤い警告が表示される
- Google Search Consoleに「セキュリティの問題」のアラートが届いた
- ページのソースコードを表示すると見覚えのないスクリプトやリンクがある
- サーバーのファイルマネージャーで見覚えのないPHPファイルが増えている
- サーバー会社から「不正なスクリプトを検出した」という通知が届いた
改ざんに気づきにくい理由
改ざんの多くは、サイトの見た目を変えずに行われます。攻撃者は痕跡を残さないよう、HTMLのソースコード内にリンクやスクリプトを隠したり、特定の検索エンジンのクローラーだけに悪意あるコンテンツを見せたりする手口(クローキング)を使います。
そのため「自分のブラウザでは正常に見える」という状態が続き、発覚が遅れるケースが多いです。定期的なチェックが欠かせない理由はここにあります。
WordPress改ざんチェック7つのステップ
改ざんを確認するには、複数の観点から調べることが重要です。1つのチェックだけでは見落としが生じることがあります。以下の7ステップを順番に実施してください。
ステップ1:Google検索でサイトの状態を確認する
まずGoogleでサイトを検索し、検索結果に異常がないかを確認します。赤い警告表示・スパムっぽい説明文・見覚えのないページが表示されていれば改ざんの可能性が高いです。
# site:演算子でサイト内のページ一覧を確認する
site:あなたのドメイン.com
# 例:
site:example.com
# 見覚えのないページ(賭博・アダルト等)が出てきたら要注意また、Googleの「セーフブラウジング診断」を使うと、Googleがそのサイトを危険と認識しているかどうかを確認できます。
# ブラウザのアドレスバーに以下を入力(ドメイン部分を自分のものに変更)
https://transparencyreport.google.com/safe-browsing/search?url=あなたのドメイン.comステップ2:Google Search Consoleでセキュリティ警告を確認する
Google Search Consoleにログインし、左メニューの「セキュリティと手動による対策」→「セキュリティの問題」を開いてください。ここに問題が記録されている場合、Googleがすでに改ざんを検知していることを意味します。
- 「セキュリティの問題」:マルウェア・フィッシング・不審なダウンロードが記録される
- 「手動による対策」:Googleのスパム対策チームが問題を発見した場合に通知される
- 「クロール」→「URLの検査」:特定のページが正常にインデックスされているかを確認できる
ステップ3:ページのHTMLソースコードを確認する
ブラウザでサイトのトップページを開き、右クリックから「ページのソースを表示」を選んでください。Ctrl+F(MacはCmd+F)で以下のキーワードを検索して、不審なコードが含まれていないか確認します。
eval(base64_decode(← 難読化されたマルウェアの典型的なパターンdocument.write(unescape(← 隠しリンクや隠しスクリプトの埋め込みに使われる- 見覚えのない外部ドメインへの
<script src=タグ - 見覚えのない外部サイトへの
<a href=リンク(特に隠しリンク) iframeタグで外部ページを埋め込んでいる箇所
ステップ4:WordPressのファイルを確認する
サーバーのファイルマネージャー(またはFTPクライアント)を使ってWordPressのファイルを確認します。特に以下の場所を重点的にチェックしてください。
- wp-config.php:末尾や先頭に見覚えのないコードが追加されていないか
- .htaccess:不審なRewriteRuleや外部URLへのリダイレクト設定がないか
- /wp-content/uploads/:画像フォルダ内にPHPファイルが存在しないか(本来は画像のみ)
- /wp-content/themes/:使用中テーマのfunctions.phpに不審なコードがないか
- ルートディレクトリ:見覚えのないPHPファイルが新しく追加されていないか
ファイルの更新日時を確認するのも有効な方法です。自分で更新した覚えのない日時に主要ファイルが変更されていた場合、外部からの操作が疑われます。
# SSHが使える場合:直近7日間に更新されたPHPファイルを一覧表示
find /var/www/html/ -name "*.php" -newer /var/www/html/wp-config.php -mtime -7
# 見覚えのないファイルが表示された場合は要注意ステップ5:WordPressの管理画面とユーザーを確認する
WordPress管理画面にログインし、「ユーザー」→「ユーザー一覧」を開いてください。見覚えのない管理者アカウントが追加されていないかを確認します。攻撃者はバックドアを維持するために管理者アカウントを作成することがあります。
また、「投稿」「固定ページ」の一覧を確認し、見覚えのないページが作成されていないか、既存ページの更新日時が自分の編集日と合っているかもチェックしてください。
ステップ6:セキュリティプラグインでスキャンする
Wordfenceなどのセキュリティプラグインを使って、マルウェアスキャンを実施します。WordPressのコアファイル・プラグイン・テーマのすべてを公式リポジトリのデータと照合し、改ざんされたファイルを検出できます。
Wordfenceをインストール後、「Wordfence」→「Scan」→「Start New Scan」でスキャンを開始してください。スキャン完了後、「Critical」や「High」と表示された問題から優先的に対処します。
- 「File modified」:コアファイルやプラグインファイルが公式版から変更されている
- 「Unknown file in WordPress core」:WordPressに含まれないファイルがコアディレクトリに存在する
- 「Malware signature found」:既知のマルウェアパターンが検出された
ステップ7:アクセスログで不審なアクセスを確認する
サーバーのアクセスログを確認することで、いつ・どのIPから・どのファイルにアクセスがあったかを把握できます。特にwp-login.phpへの大量アクセスや、バックドアファイルへのPOSTリクエストは不正アクセスの証拠となります。
# wp-login.phpへの短時間での大量アクセス(ブルートフォース)
203.0.113.10 - - [10/Apr/2026:03:22:01 +0900] "POST /wp-login.php HTTP/1.1" 200 -
203.0.113.10 - - [10/Apr/2026:03:22:02 +0900] "POST /wp-login.php HTTP/1.1" 200 -
# /wp-content/uploads/内のPHPファイルへのPOSTアクセス(バックドア実行)
198.51.100.5 - - [10/Apr/2026:04:11:30 +0900] "POST /wp-content/uploads/2025/03/img.php HTTP/1.1" 200 -
WordPress改ざんが見つかった場合の初動対応
チェックの結果、改ざんが確認された場合はすぐに行動してください。発見から対処までの時間が短いほど、被害を最小化できます。以下の初動対応を優先順位順に実施してください。
STEP1:サイトをメンテナンスモードにする
まず訪問者への被害を止めるために、サイトをメンテナンスモードにします。改ざんされた状態でサイトを公開し続けると、訪問者がマルウェアに感染したりフィッシング被害に遭ったりする可能性があります。
サーバーのコントロールパネルから一時的にサイトを非公開にするか、WordPressにメンテナンスモードプラグインを導入して表示を止めてください。
STEP2:バックアップから正常版を確認する
定期バックアップを取っていた場合は、改ざん前のバックアップがあるかを確認してください。バックアップがある場合はそれを使った復旧が最も確実です。ただし、バックアップ自体がすでに改ざん後のものである可能性があるため、バックアップ日時と改ざん発生時期を照合してください。
STEP3:すべてのパスワードを変更する
改ざんが確認されたら、以下のすべてのパスワードを即座に変更してください。攻撃者がまだ侵入経路を保持している可能性があるためです。
- WordPressのすべての管理者・編集者アカウント
- サーバー(レンタルサーバー)のコントロールパネル
- FTP・SFTPアカウント
- データベース(MySQLユーザー)
- ドメイン管理会社のアカウント
STEP4:マルウェアファイルを削除・修正する
Wordfenceのスキャン結果や手動確認で見つかった不正ファイルを削除し、改ざんされたファイルを正規版に戻します。WordPressのコアファイルは管理画面の「ダッシュボード」→「更新」から「再インストール」を行うことで、正規版に一括で戻せます。
プラグイン・テーマは削除して公式リポジトリから再インストールするのが最も安全です。改ざんされたコードを手動で除去しようとすると、見落としが発生するリスクがあります。
WordPress改ざんを防ぐためのセキュリティ対策
改ざんは予防が最大の対策です。一度被害を受けたサイトは再度狙われる可能性が高いため、復旧後は必ず以下の対策を施してください。また被害を受ける前から実施しておくことを強くおすすめします。
対策1:WordPressをすべて最新版に保つ
WordPress本体・プラグイン・テーマを常に最新版にアップデートしてください。セキュリティの脆弱性は公式から修正パッチが提供されますが、更新しなければその修正が適用されません。未更新の環境は既知の攻撃手口に対して無防備です。
使用していないプラグインやテーマは、無効化するだけでなく完全に削除してください。コードが残る限り脆弱性の温床になります。
対策2:クイックレスキュー365でセキュリティを強化する
クイックレスキュー365は、改ざん・不正アクセスを防ぐための8つの機能を無料で提供するWordPress専用のセキュリティプラグインです。ログインURL変更・不正ログインブロック・XMLRPCの無効化など、改ざんの侵入経路を塞ぐ設定がインストールするだけで有効になります。
対策3:ファイルパーミッションを適切に設定する
WordPressのファイルパーミッション(アクセス権限)の設定が甘いと、攻撃者がファイルを書き換えやすくなります。基本的な設定は以下のとおりです。
# WordPressの推奨パーミッション設定
wp-config.php → 400 または 440(オーナーのみ読み取り可)
.htaccess → 644(オーナー書き込み可、他は読み取りのみ)
ディレクトリ全般 → 755
PHPファイル全般 → 644
/wp-content/uploads/ → 755(ファイル書き込みは不可に設定が理想)対策4:定期的なバックアップと自動チェックを設定する
改ざんされた場合でも、直前のバックアップがあれば迅速に復旧できます。UpdraftPlusやBackWPupなどのプラグインを使い、週1回以上の自動バックアップを外部ストレージ(Googleドライブ・Amazon S3等)に保存してください。
また、今回紹介したステップ1〜7のチェックを月1回のルーティンとして実施することで、早期発見の精度が大きく向上します。
よくある質問
最低でも月1回はチェックすることをおすすめします。Search Consoleのセキュリティアラートは週1回確認する習慣をつけると早期発見につながります。Wordfenceのスケジュールスキャン機能を使えば、自動で定期スキャンを実行できます。
改ざん規模によります。バックドアの削除・コアファイルの再インストール・プラグインの再インストールで対処できる場合は自力での復旧が可能です。ただし、マルウェアが複数箇所に仕掛けられていたり、データベースにも不正なコードが埋め込まれていたりする場合は、専門家への依頼をおすすめします。中途半端な対処は再感染のリスクが高まります。
主な被害として、検索エンジンのランキング大幅下落・Googleからの警告表示・訪問者へのマルウェア感染・フィッシングページへの誘導・顧客情報の漏えいなどが挙げられます。長期間放置した場合、サーバー会社からサイトを強制停止されるケースもあります。早期発見・早期対処が被害を最小限に抑えるための最善策です。
Googleのセーフブラウジング診断・Search Console・Sucuri SiteCheckなどが無料で利用できます。Sucuri SiteCheckはURLを入力するだけでマルウェアの有無を外部からチェックできます(ただし内部ファイルのスキャンはWordfenceなどのプラグインが必要です)。複数のツールを組み合わせることで、見落としを減らせます。
WordPress改ざんチェック 手順と対策のまとめ
WordPress改ざんの確認方法と、発見後の対処・再発防止策を解説しました。最後に要点をまとめます。
- 改ざんは見た目が正常でも進行しているケースが多いため、定期チェックが必須
- Google検索・Search Console・ソースコード・ファイル・プラグインスキャン・アクセスログの7ステップで確認する
- 改ざん発見後はすぐにメンテナンスモード→パスワード変更→マルウェア削除の順で対処する
- 再発防止には「常時最新版に更新」「セキュリティプラグイン導入」「パーミッション設定」「定期バックアップ」が基本
- 対処が難しい場合は早めに専門家へ相談する
改ざんは「自分のサイトは大丈夫」という油断が一番の敵です。今日からでも定期チェックを習慣にして、安全なWordPressサイト運営を続けていきましょう。
WordPress改ざんが自分で直せない時は
WordPressの改ざん・マルウェア感染を解決したいなら、クイックレスキューにお任せください。
・サイトが改ざんされているか確認してほしい
・Googleに「危険なサイト」と表示されている
・サーバーに不審なファイルが見つかった
・Search Consoleにセキュリティ警告が届いた
・自分での復旧が難しい
これらでお悩みなら最短30分ですぐに解決します!
・万一改善されない場合は全額返金保証で安心!
・30日間動作保証で安心!
・初期費・調査料 0円で安心!