WordPressの乗っ取りのチェック方法と対処法
たーさんWordPressは世界で最も利用されているCMSである分、攻撃者にとっても格好の標的です。「サイトが重い」「身に覚えのない記事がある」と感じたら、すでに乗っ取られている可能性があります。
早期発見と迅速な対処のためのガイドをまとめました。
WordPress乗っ取りのチェック方法(セルフ診断)
まずは以下の項目に当てはまるものがないか確認してください。
- ログインできない: 管理画面のパスワードが勝手に変更されている。
- 身に覚えのないユーザー: 管理者一覧に知らないメールアドレスのユーザーが追加されている。
- 検索結果の汚染: Googleで自分のサイトを検索すると、無関係な商品(ブランド品、薬品など)のタイトルが表示される。
- 不審なファイル: サーバー上のファイル(
index.phpや.htaccessなど)の更新日時が、自分が触っていない日付になっている。 - リダイレクト: サイトを開くと、勝手に海外の怪しいサイトや広告サイトに飛ばされる。
実際にあった「乗っ取り」の被害事例
事例A:踏み台にされる
自社のサイトが「大量のスパムメール送信元」として悪用され、サーバー会社から利用停止措置(アカウント凍結)を受ける。
事例B:SEOスパム(隠しリンク)
記事の中に、一般ユーザーには見えない形で大量の不正サイトへのリンクを埋め込まれる。Googleから「低品質・悪意あるサイト」と判定され、検索順位が急落する。
事例C:ランサムウェア(身代金要求)
データベースを暗号化され、サイトを元に戻す代わりにビットコインを要求される。
乗っ取られた時の対処法(緊急ステップ)
もし被害が確認されたら、焦らず以下の手順で対応します。
ステップ1:バックアップの確保と隔離
- 現状のファイルをすべてダウンロードし保存します(調査用)。
- 可能であれば、サイトを一時的に「メンテナンス中」にして外部からのアクセスを遮断します。
ステップ2:パスワードの全変更
- WordPress管理画面(ログインできる場合)
- サーバーのFTP/SSHアカウント
- データベース(MySQL)のパスワード
- サーバー管理パネルのログイン情報
ステップ3:不審なファイルの削除とコアファイルの再インストール
wp-content/pluginsやthemesフォルダ内にある、身に覚えのないファイルを削除します。- WordPress本体のファイルは、公式サイトからダウンロードした「綺麗なファイル」で上書きします。
- プラグインとテーマをすべて最新版に更新します。
ステップ4:セキュリティプラグインでのスキャン
- 「Wordfence Security」や「SiteGuard WP Plugin」などの信頼できるプラグインを導入し、残っているマルウェアがないかフルスキャンをかけます。
二度と乗っ取られないための鉄壁の予防策
復旧した後は、以下の設定を必ず行いましょう。
- 「admin」ユーザーを使わない: ユーザー名は推測されにくいものに変更する。
- ログインURLの変更:
/wp-adminを別の文字列に変える(プラグインで可能)。 - 2要素認証 (2FA) の導入: パスワードだけでなくスマホでの認証を追加する。
- 放置プラグインの削除: 1年以上更新されていないプラグインは脆弱性の塊です。
- XML-RPCの停止: ボットによる総当たり攻撃の窓口になりやすいため、不要ならオフにする。
セキュリティは「運用のコスト」
WordPressの運用において、セキュリティ対策は「起きてから」では遅く、復旧には多大な時間と信頼の損失が伴います。
最後にこれだけは!
最も効果的で簡単な対策は、「本体・テーマ・プラグインを常に最新版に保つこと」です。古いバージョンの放置が、侵入経路の9割以上を占めています。
もし現在、特定の不審な挙動(例:勝手に海外サイトへ飛ぶなど)が見られる場合は、具体的な症状を教えていただければ、怪しい箇所の特定をお手伝いできます。
投稿者プロフィール
