先に要点
WordPress サイトが改ざんされたときは、かなり焦ります。
トップページが書き換わる、見覚えのない管理者が増える、検索結果に怪しいページが出る、ホスティング会社から停止連絡が来る、といった形で気づくことが多いです。
このとき、焦ってファイルを消したり、プラグインを全部更新したり、バックアップを上書きしたりすると、あとから原因が追いにくくなります。
逆に、様子見のまま公開を続けると、訪問者被害や検索エンジン評価の悪化が広がることがあります。
この記事では、WordPress サイトが改ざんされたときの初動を、停止、証拠保全、復旧、再発防止の順番で整理します。
普段の保守で何を見ておくべきかを先に押さえたい場合は、WordPress保守で最低限やるべきセキュリティ確認とは?更新・権限・バックアップの基本 もつながりやすいです。
この記事では、2026年4月22日時点で WordPress.org の
FAQ My site was hackedとHardening WordPress、CISA のランサムウェア対応チェックリストを確認しながら整理しています。WordPress.org は、症状記録、スキャン、ローカル環境確認、ホスティング会社確認、アクセス制御の見直し、更新を案内しています。CISA も、初期把握、影響範囲整理、通信分離、証拠保全、復旧計画の重要性を示しています。ここでは、法執行やフォレンジックの詳細手順ではなく、小規模サイト運用で事故を広げにくくする初動順としてまとめます。
結論:まずは「記録・隔離・連絡・保全」の順で動く
最初にやるべきことを一言でまとめると、次です。
- 何が起きているか記録する
- 被害を広げないように止めるか制限する
- 関係者へ連絡する
- いまの状態を保全する
- そのあとで復旧に入る
ここで とにかく元に戻す を最優先にすると、原因不明のまま再侵入されやすくなります。
改ざん時の初動チェックリスト
最初に全体像を見ます。
| 段階 | やること | 避けたいこと |
|---|---|---|
| 初動 | 症状記録、停止判断、関係者連絡 | 無計画な削除や上書き |
| 保全 | ファイル、DB、ログ、通知内容の退避 | 痕跡を消す更新やクリーンアップ |
| 封じ込め | アクセス制限、パスワード変更、不要アカウント停止 | 改ざん状態のまま公開継続 |
| 復旧 | 安全なバックアップか再構築で戻す | 感染状態をそのまま復元 |
| 再発防止 | 更新、権限、WAF、監視、運用ルール見直し | 原因確認なしで公開再開 |
1. まず症状を記録する
WordPress.org の FAQ My site was hacked でも、最初のアクションとして記録が勧められています。
ここで残した内容が、あとで原因整理や再発防止に効きます。
最低限、次をメモします。
- いつ気づいたか
- 何が起きているか
- どの URL で見えたか
- 管理画面に入れるか
- 最近入れたプラグインや変更があったか
- ホスティング会社や検索エンジンから通知が来ているか
あわせて、画面キャプチャも残した方がよいです。
後から見返すと、改ざんページ、警告文、怪しいユーザー追加、検索汚染の痕跡が分かりやすくなります。
2. 公開を続けてよいかをすぐ判断する
次に見るのは、止めるべきかどうかです。
次のどれかなら、一時停止やアクセス制限を強く検討した方がよいです。
止め方は状況次第ですが、実務では次のような選択肢があります。
- サイト全体を一時停止する
- Basic認証で外部公開を止める
- 管理画面だけ閉じる
- 一時的にメンテナンス画面へ切り替える
大事なのは、見た目だけ戻して営業継続 を急ぎすぎないことです。
3. 先に証拠と現状を保全する
ここがかなり大事です。
復旧作業より前に、いまの状態をできるだけ残します。
最低限、次を退避します。
- 現在のファイル一式
- データベースダンプ
- Web / PHP / メール / 認証ログ
- ホスティング会社からの通知メール
- 改ざんページのスクリーンショット
どうせ汚染されているから消す ではなく、あとで原因を見るために残す と考えた方が安全です。
特に共有サーバーや小規模運用では、あとから侵入経路が分からなくなることが多いです。
4. ホスティング会社と関係者へ連絡する
WordPress.org でも、ホスティング会社への確認はかなり重要だと案内されています。
共有サーバーなら他サイト影響やアカウント制限、送信制限、ログ保全の相談が必要になることがあります。
連絡したい相手は次です。
- ホスティング会社
- 保守担当や制作会社
- ドメイン / DNS 管理担当
- クライアントや社内責任者
ここで共有したい内容は、何が起きているか 止める判断をしたか 次に何をするか の3点です。
5. パスワードとアクセス経路をまとめて見直す
WordPress.org でも、侵害後はアクセス制御の見直しとパスワード変更が強く勧められています。
このとき、WordPress のログインだけ変えて終わりにしない方が大事です。
見直す対象は次です。
また、wp-config.php の secret keys を更新して、既存ログインセッションを無効化するのも実務ではかなり有効です。
6. ローカル端末側も疑う
WordPress.org の FAQ My site was hacked では、ローカル環境のスキャンも案内されています。
実際、侵入の起点が管理者 PC 側であることもあります。
たとえば次です。
- ブラウザ保存パスワードの流出
- FTP クライアント情報の窃取
- キーロガーや情報窃取型マルウェア
そのため、サイトだけではなく、更新作業に使った PC も確認した方が安全です。
7. 復旧は「安全なバックアップ」か「再構築」で考える
ここで悩みやすいのが、どこまで戻すかです。
実務では、次の順で考えると整理しやすいです。
安全性が怪しいバックアップをそのまま戻すと、公開直後に再発することがあります。
そのため、戻せる と 安全に戻せる は別です。
8. WordPress本体・テーマ・プラグインを整理してから戻す
復旧時は、元の構成をそのまま全部戻すより、次を見直した方が安全です。
- 不要プラグインを外す
- 更新停止していたプラグインを洗い出す
- 信頼性の低いテーマや配布元を見直す
- WordPress 本体、テーマ、プラグインを最新寄りへ整える
この点は WordPressでプラグイン更新を止めていいケースはある?互換性確認の進め方を整理 でも触れた通り、怖いから止める を続けた構成ほど復旧後も不安定になりやすいです。
9. 再発防止では「入口」と「気づき方」を強くする
公開再開前に、最低限ここを見直したいです。
再発防止で大事なのは、派手な製品を増やすことより、誰がいつ何を見るか を決めることです。
10. ありがちな失敗
改ざん後にやってしまいがちな失敗は次です。
- 焦ってその場で全部更新する
- 怪しいファイルをすぐ削除して痕跡を消す
- WordPress パスワードだけ変えて満足する
- 旧バックアップを上書きする
- 復旧後に原因確認をしない
このあたりを避けるだけでも、かなり動きやすくなります。
改ざん時の実務順
迷ったら、次の順で進めると整理しやすいです。
- 症状を記録する
- 停止や制限の要否を判断する
- 関係者とホスティング会社へ連絡する
- ファイル、DB、ログを保全する
- 全アクセス経路の認証情報を見直す
- ローカル端末もスキャンする
- 安全なバックアップか再構築で復旧する
- 更新、権限、監視ルールを見直して再公開する
この順なら、焦りで余計に被害を広げにくくなります。
まとめ
WordPress サイトが改ざんされたときの初動は、とにかく元に戻す だけでは足りません。
まず記録し、止めるべきなら止め、証拠とログを保全し、アクセス経路を絞ってから復旧に入る方が安全です。
復旧後も、更新停止、広すぎる管理者権限、監視不足を残したままだと再発しやすいです。
初動、復旧、再発防止を分けて考えると、かなり落ち着いて対応しやすくなります。
参考リンク
- WordPress.org Documentation: FAQ My site was hacked
- Developer.WordPress.org: Hardening WordPress
- CISA: Ransomware Response Checklist