WordPressが乗っ取られたら?今すぐやるべき対処・確認方法・復旧手順・再発防止まで完全ガイド

  • 投稿日
  • 著者 よこやま良平
  • カテゴリー Wordpress
  • WordPressサイトが突然おかしくなった
  • 見覚えのないページが増えている
  • 管理画面にログインできない

もしそのような状態なら、サイトが乗っ取り(ハッキング)被害に遭っている可能性があります。

実際、WordPressは世界中で利用されているため、攻撃の対象になりやすく、セキュリティ対策が不十分だと被害に遭うケースも少なくありません。

ただし、正しい手順で対応すれば、多くの場合は復旧できます。

この記事では、

  • WordPressが乗っ取られたときの症状の確認方法、原因
  • 今すぐやるべき対処
  • 復旧手順、再発防止の対策まで

を初心者にもわかりやすく解説します。

「もしかして乗っ取られたかも?」と思った方は、まずこの記事のチェック項目から確認してみてください。

早めの対応が被害を最小限に抑えるポイントです。

使い方から収益化までプロが教える
WordPressの教科書

「もう限界かもしれない…」
そんな思いで立ち止まっていませんか?

「収益が一向に増えず、事業を続ける意味に迷い始めている」
「クラウドソーシングや営業して稼げるか不安だ」
「収益化したいけれど、YouTubeや書籍では解決できなかった」
「WordPressでLP制作を頼まれるが、具体的な方法がわからない」
「広告を出稿したが、まったく成果が出なくて悩んでいる」
「仕事でグラフや資料制作を思うように作れない」
「独学の限界を感じ、でも何から学ぶべきかわからない」

これらの悩みを抱えているのは、
あなただけではありません。

多くのフリーランスや経営者が、
同じ壁にぶつかっています。

その壁を越えるための「本物の解決策」が、ここにあります。

私たちはこれまで、
数多くのフリーランスや経営者が収益化に成功するための
お手伝いをしてきました。

WordPressでホームページやブログを作るスキルだけでなく、
広告を最大限活用して集客し、
売上を上げるノウハウを惜しみなくお伝えします。

「成果が出る広告の作り方」
「売れるホームページを構築する秘訣」
「初心者でも成果を上げるための実践的なステップ」

これらを余すことなく提供するWordPressの教科書を、
今なら無料で受け取れます!

WordPressの教科書

\先着300名限定!特典付きで無料配布中/

今すぐ無料ダウンロードする

いまなら、先着300部限定で無料プレゼント付です。

今すぐ無料ダウンロードする

目次

WordPressが乗っ取られた可能性がある人へ(今すぐやること)【最初に】

WordPressが乗っ取られた可能性がある場合、まず重要なのは被害の拡大を止めることです。
焦っていろいろ触るより、順番通りに対応すると復旧がスムーズになります。

まずは次の4つを行いましょう。

今すぐやるべき緊急対応(3分対処)

  1. サイトをメンテナンスモードにする
  2. 管理者・サーバー・データベースのパスワードを変更する
  3. 見覚えのないユーザーを削除する
  4. 最近追加されたプラグインを確認する

特に多いのが、知らない管理者ユーザーが追加されているケースです。
管理画面の「ユーザー一覧」は必ず確認してください。

WordPressが乗っ取られたか確認する方法

乗っ取り被害は見た目ではわかりにくいこともあります。
以下のポイントを確認してみてください。

乗っ取りチェックリスト

WordPressが乗っ取られたか確認
  1. サイトの見た目が変わっている
  2. 知らない広告が表示される
  3. 別のサイトへ飛ばされる
  4. 管理画面にログインできない
  5. 不審なユーザーが追加されている
  6. 検索結果に知らないページが表示される

1つでも当てはまる場合、乗っ取りの可能性があります。

管理画面で確認するポイント

管理画面では次の部分を確認します。

  • ユーザー一覧・・・見覚えのない管理者がいないか
  • プラグイン・・・インストールした覚えのないものがないか
  • 設定・・・サイトURLが変更されていないか

攻撃者は、まず管理者アカウントを作ることが多いです。

サーバーで確認する方法

サーバーのファイルを確認すると、不正ファイルが見つかることがあります。

  • 最近更新されたファイル
  • 見覚えのないフォルダ
  • 不審なPHPファイル
  • 文字化けしたコード

特に多いのが次の場所です。

/wp-content/uploads/
/wp-includes/
/wp-admin/

検索結果で確認する方法(SEOスパムチェック)

Googleで次のように検索してください。

site:あなたのドメイン

もし次のような状態なら注意です。

  • 覚えのないページが大量にある
  • 海外サイトのようなタイトル
  • スパムページが作られている

これはSEOスパム感染と呼ばれる被害です。

リダイレクトハッキングとは?その危険性と防止対策の完全ガイド

リダイレクトハッキングとは?その危険性と防止対策の完全ガイド

WordPress乗っ取りのよくある症状

実際の被害では、次の症状が多く見られます。

サイトが改ざんされる

トップページが書き換えられることがあります。
知らない文章やリンクが追加されるケースもあります。

WordPressサイト改ざん手口と対策!あなたのサイトが狙われている

WordPressサイト改ざん手口と対策!あなたのサイトが狙われている

別のサイトへリダイレクトされる

訪問者が他のサイトへ自動的に移動させられます。
これはかなり多い被害です。

WordPressのリダイレクトループ・URLエラーの解決まとめ【初心者向け】

WordPressのリダイレクトループ・URLエラーの解決まとめ【初心者向け】

不審な広告が表示される

スパム広告が表示される場合があります。

WordPressがハッキングされた時の復旧手順と再発防止策のすべて|初心者向け完全ガイド

WordPressがハッキングされた時の復旧手順と再発防止策のすべて|初心者向け完全ガイド

管理画面にログインできない

攻撃者がパスワードを変更している可能性があります。

WordPressにログインできない・ログイン画面が表示されない時【初心者向け】

WordPressにログインできない・ログイン画面が表示されない時【初心者向け】

知らない管理者ユーザーが追加されている

これは典型的な乗っ取りのサインです。

WordPress乗っ取り被害の真実と今すぐできる即効対策【実例あり】

WordPress乗っ取り被害の真実と今すぐできる即効対策【実例あり】

WordPressが乗っ取られる主な原因

多くの場合、原因はほぼ共通しています。

WordPress本体を更新していない

古いバージョンには、セキュリティの穴(脆弱性)が残っていることがあります。
ここを狙われるケースが多いです。

プラグインの脆弱性

一番多い原因です。

特に注意
  • 長期間更新されていないプラグイン
  • 無料配布テーマ
  • 不明な開発元のプラグイン

テーマの脆弱性

古いテーマも攻撃対象になります。
放置しているテーマは削除した方が安全です。

パスワードが弱い

よくある危険なパスワード
  • admin
  • 123456
  • password
  • サイト名

これは、ブルートフォース攻撃(総当たり攻撃)で突破されます。

セキュリティ対策をしていない

実はこれがかなり多いです。

特に危険な状態
  • ログインURLがそのまま
  • 2段階認証なし
  • バックアップなし

この状態だと狙われやすくなります。

WordPressが乗っ取られた直後の正しい対処法

WordPressが乗っ取られた可能性がある場合は、焦って作業するよりも、順番に対応することが重要です。

ここでは初心者でも実行できる対処手順を紹介します。

手順① サイトを一時的に停止する

まずは被害の拡大を防ぐため、サイトを一時的に公開停止にします。
方法としては次のようなものがあります。

  • メンテナンスモードにする
  • サーバーの機能でアクセス制限をかける
  • 一時的に公開を停止する

これにより、訪問者が被害に巻き込まれるのを防げます。

手順② すべてのパスワードを変更する

次のパスワードをすべて変更してください。

  • WordPress管理画面
  • サーバー管理画面
  • FTP
  • データベース
  • メールアカウント

このとき、推測されにくい強いパスワードに変更することが大切です。

手順③ 不審なユーザーを削除する

管理画面のユーザー一覧を確認します。

次のようなユーザーがいないか確認してください。

  • 見覚えのない管理者
  • 海外名のユーザー
  • 最近作成されたユーザー

不正ユーザーがいる場合は削除します。

手順④ マルウェアのチェックを行う

サイトの中に不正なコードが入っている可能性があります。
次の場所を中心に確認します。

  • プラグインフォルダ
  • テーマフォルダ
  • uploadsフォルダ
  • 不審なPHPファイル

特に最近変更されたファイルは注意が必要です。

手順⑤ WordPressを再インストールする

多くの場合、WordPress本体の再インストールで問題が解決します。
これはコアファイルを正常な状態に戻す作業です。

手順
  1. WordPressの最新バージョンをダウンロード
  2. コアファイルを上書き
  3. wp-config.phpはそのままにする

この方法は安全でよく使われる復旧方法です。

WordPressの乗っ取りを復旧する方法(初心者向け)

乗っ取り被害の復旧方法はいくつかあります。
状況に応じて最適な方法を選びましょう。

バックアップから復元する方法

もっとも安全な方法です。

次の条件がそろっていれば、この方法がベストです。

  • 感染前のバックアップがある
  • 定期バックアップをしている
  • 復元機能があるサーバーを使っている

復元の流れは次の通りです。

  1. 感染前のバックアップを選択
  2. サイトデータを復元
  3. 動作確認をする

この方法は短時間で復旧できる可能性が高いです。

手動で修復する方法

バックアップがない場合は手動修復になります。

主な作業は次の通りです。

  • 不正ファイルの削除
  • WordPressの再インストール
  • プラグインの整理
  • テーマの再アップロード
  • データベース確認

この作業は少し難しいため、慎重に進める必要があります。

業者に依頼する方法

自分で修復できない場合は専門業者に依頼する方法もあります。

一般的な費用の目安
  • 軽度の改ざん:3万円〜
  • マルウェア感染:5万円〜
  • 完全復旧作業:10万円前後

サイトの重要度が高い場合は、無理をせず依頼するのも一つの方法です。

WordPress保守代行の費用相場とおすすめ業者10選!

WordPress保守代行の費用相場とおすすめ業者10選!

SEOスパム感染の確認方法

WordPressの乗っ取りでは、SEOスパムを仕込まれることがよくあります。
これは検索結果を悪用する攻撃です。

検索結果が改ざんされていないか確認

Googleで次の検索をします。

site:自分のドメイン

次のようなページが出てきたら注意です。

  • 海外の通販ページ
  • 謎の英語ページ
  • 覚えのない記事

これはスパムページの可能性があります。

不審なページが作られていないか確認

次の場所を確認します。

  • 固定ページ
  • 投稿一覧
  • メディアライブラリ

攻撃者はページを大量に作ることがあります。

Search Consoleを確認する

Google Search Consoleで確認できること
  • インデックスされたページ
  • セキュリティ警告
  • 不審なURL

ここに警告が出ている場合は対処が必要です。

もう乗っ取られないためのWordPressセキュリティ対策

一度乗っ取り被害に遭うと、再び狙われる可能性があります。
そのため、しっかり対策することが重要です。

ログインURLを変更する

通常のログインURLは攻撃対象になりやすいです。

よくあるURL
  • /wp-admin/
  • /wp-login.php

これを変更すると攻撃を減らせます。

二段階認証を導入する

ログイン時に追加認証を行う仕組みです。
これだけで不正ログインの多くを防げます。

セキュリティプラグインを導入する

セキュリティ対策として次の機能があるプラグインがおすすめです。

  • 不正ログイン防止
  • ファイル改ざん検知
  • マルウェアスキャン
  • ログ監視

不要なプラグインを削除する

使っていないプラグインは削除してください。
放置していると攻撃の原因になります。

自動バックアップを設定する

バックアップは非常に重要です。
万が一のときにすぐ復旧できます。

理想の頻度
  • 毎日バックアップ
  • 外部保存
  • 自動保存

定期アップデートを行う

次の項目は常に最新に保ちます。

  • WordPress本体
  • プラグイン
  • テーマ

これだけで多くの攻撃を防げます。

WordPress乗っ取り対策チェックリスト【保存版】

サイト運営では、定期的にセキュリティ状況を確認することが大切です。
以下のチェックリストを使って、現在の状態を確認してみてください。

チェック項目確認内容
WordPress本体を最新に更新している最新版のバージョンを使用している
プラグインを定期的に更新している古いプラグインを放置していない
不要なプラグインを削除している使っていないものは削除済み
テーマを最新状態にしている更新されていないテーマがない
強力なパスワードを設定している推測されにくいパスワード
管理者ユーザーを確認している不審なユーザーがいない
バックアップを自動化している定期バックアップがある
ログインURLを変更している標準URLのままにしていない
二段階認証を導入している不正ログイン対策あり
セキュリティプラグインを導入しているサイト監視を行っている

WordPressが乗っ取られたらよくある質問(FAQ)

Q
WordPressは本当に乗っ取られることがありますか?
A

はい、可能性はあります。
WordPressは世界中で利用されているため、攻撃対象になりやすいCMSです。
ただし、基本的なセキュリティ対策を行えば、多くの攻撃は防ぐことができます。

Q
初心者でも復旧できますか?
A

軽度の改ざんであれば復旧できるケースも多いです。
バックアップから復元、WordPressの再インストール方法が有効です。
ただし、マルウェア感染が広がっている場合は専門業者に依頼した方が安全です。

Q
乗っ取りを放置するとどうなりますか?
A

放置すると検索順位の大幅低下、サイトの表示停止、ウイルス配布サイトになる、Googleの警告表示などの被害が起きる可能性があります。
早めに対応することが重要です。

Q
WordPressの乗っ取りは完全に防げますか?
A

完全にゼロにすることは難しいですが、リスクは大きく減らせます。
特に重要な対策は、定期アップデート、強いパスワード、バックアップの3つです。
この3つを行うだけでも安全性は大きく向上します。

WordPressの乗っ取りは早めの対処が重要

WordPressの乗っ取りは突然発生することがありますが、多くの場合は原因が共通しています。

特に多いのが、

  • WordPressの更新不足
  • プラグインの脆弱性
  • 弱いパスワード

などです。

もしサイトの様子がおかしいと感じた場合は、まず乗っ取りの可能性を確認し、被害の拡大を防ぐことが重要です。

その後、バックアップからの復元やWordPressの再インストールなど、正しい手順で復旧作業を進めましょう。

また、一度乗っ取り被害に遭ったサイトは再び狙われる可能性もあります。

ログイン対策やセキュリティプラグイン、定期的なバックアップなどの基本的な対策を行い、安全なサイト運営を続けていくことが大切です。

ホームページ改ざんやWordPressの乗っ取りされた場合は

WordPress保守・不正アクセス対策・マルウェア駆除・WordPressクイックレスキュー365

WordPress保守・不正アクセス対策・マルウェア駆除・WordPressクイックレスキュー365

WordPressのトラブル、マルウェア感染・即解決。ワードプレスを復旧します。即日対応。全額返金保証で安心

ワードプレスのWordPressエラートラブル解決をしたいなら
クイックレスキューが解決します。

こんなお悩みはありませんか?

・WordPressが真っ白画面
・WordPressがログインできない
・ホームページのマルウェアや乗っ取り
・サイトの表示くずれ
・エラーが表示されている

これらでお悩みなら最短30分ですぐに解決します!

いまなら期間限定で

3つの安心

・万一改善されない場合は全額返金保証で安心!
30日間動作保証で安心!
調査料、キャンセル料 0円で安心!

\無料調査・全額返金保証付き/

今すぐ無料で相談する
WordPress セキュリティ WordPress ハッキング対策 WordPress 乗っ取り

この記事を書いた人

よこやま良平

こんにちは!18年以上ITエンジニアとして活動してきた
よこやま良平です。

4歳~85歳まで、年間1,792人名以上の方に
パソコンやプログラミング講座を行ってきました。

また18冊以上の書籍を出版しており、連続で1位を獲得しました。
オンライン講座では200件以上のレビューを頂いており
評価は4.9/5.0と高評価を得ています。

その他これまでに3000以上のサービス・システム・サイトを作成。

記事一覧