WordPress がハッキングされてしまったら、今すぐやるべきことは「一刻も早い修復」です。
不正に埋め込まれたファイル(バックドアやマルウェア)を削除し、完全な状態に戻しましょう。
ハッキングされるとどのような状態になるのか、自分で修復できるのか、詳しく解説していきます。
ハッキングされたサイトの症状
ハッキングによる改ざんが明らかな事例
以下の症状が出ていたら、確実にハッキング&改ざんされています。
スマホのみリダイレクトされる、ログインしている管理者はリダイレクトされない、というケースもあります。ログアウトした状態でスマホ・PC の両方からチェックしてください。
「site:example.com」で検索したとき、タイトルが書き換えらえていたり、おぼえのない URL が出てきていたりしたら一刻も早い修復が必要です。Google Search Console のインデックス登録レポートに数万単位のエラーが出ていることもあります。
この状態になっていると、末期です。検索順位にも確実に悪影響を及ぼすため、一刻も早く修復してください。Google Search Console でもセキュリティアラートが出ているはずなので、修復後は申請をおすすめします。
「ハッキングされたコンテンツ」は Google でスパム扱いとなっています。修復後、必ず申請してください。放置しておくとサイト全体の検索順位がどんどん低下していきます。
警告メールには、改ざんされたファイルや不正に埋め込まれたファイルのリストが掲載されていることがあります。すべてのファイルが検知されるわけではないので、サイト内の全ファイルをチェックする必要があります。
ハッキングによる改ざんも疑われる事例
以下のような症状はごく一般的な不具合とハッキングの両方の可能性が考えられます。
- 403 / 404 / 500 / 503 エラーが頻発する
- WordPress 管理画面のデザインが崩れている
- 知らないユーザーが管理者になっている
- テーマやプラグインを更新できない
- 体感できるレベルでページの表示が遅い(投稿編集画面も含む)
- 検索しても正常なページが出てこない
いずれにしても、放置しておけば勝手に直るものではありません。
むしろ放置しておくとますます悪化してしまうので、何らかの異変に気づいたときはすぐ対処しましょう。
「site:ドメイン名」で検索して、見知らぬページが出てきたらハッキングされている可能性大です。
— 瀬尾 (@seoryco) February 24, 2025
検索結果は書き換わっていなくても、アクセスして海外の変なサイトに飛ばされる場合は確実にやられています。
たまにチェックしてみてね。 https://t.co/oHJkNdGnXq pic.twitter.com/rBDxoCSW9T
ハッキングに気づいたときの対処法 3 つ
ハッキングが確実な場合、あなたができることは次の 3 つです。
- サーバー内のサイトをすべて削除してやり直す
- 自分で完全に修復する
- 専門業者に依頼する
01. サーバー内のサイトをすべて削除してやり直す
もし、サイトを作り始めたばかりの状態で放置していたなら、いったんすべて削除してやり直すのが確実です。
サーバー内に複数のサイトがあるなら、高確率でそのすべてが改ざんされています。この場合、サーバー内の全サイトを修復しないと、またすぐにマルウェアが広がってしまいます。
どれか 1 つのサイトのみ修復しただけでは解決できません。とくに必要のないサイト(テストとして仮に作ったサイトなど)があるなら、この機会に完全な削除をおすすめします。
また、メールなどを保存する場所も改ざんされていることがほとんどなので、そちらもあわせてチェックする必要があります。
なお、管理者のパスワードやデータベースのパスワードは高確率で漏洩していますので、新たに作るさいは必ず変更してください。
同じパスワードを Google や SNS など他のサービスでも使っていた場合は、最優先で変更したほうがよいです。
02. 自分で完全に修復する
WordPress やサーバーに詳しいなら、すべて削除しなくても自力で修復できます。
ハッキングされた WordPress を実際に修復した手順 を公開していますので、そちらもご参考にしていただければと思います。
ただし、改ざんパターンは複数あり、どのファイルがどのくらい書き換えられているかはケースバイケースです。サーバーには削除してはいけないファイルもありますし、見落としがあるとすぐ再発してしまうので十分にご注意ください。
これはまたすごいことになってますねぇ… pic.twitter.com/xNmqcZquup
— 瀬尾 (@seoryco) March 22, 2025
サーバーやプラグインのバックアップファイルがすでに感染している場合もあります。確実にクリーンな状態のファイルでなければ使用しないほうがよいです。
03. 専門業者に依頼する
最も確実な方法は、専門業者に修復を依頼することです。
数サイトであれば即日修復してくれる業者もいますので、自分ではどうしようもないと感じたらすぐ相談することをおすすめします。
修復費用はマチマチで、業者によって 1 サイトあたり 5,000 ~ 40,000 円とかなり幅があります。
「安かろう悪かろう」という言葉のとおり、あまりに安いところに頼むとすぐ再発してしまうかもしれません。実際、そのパターンでご相談いただくケースが何度かありました。
一刻も早く修復すべきですが、口コミなどをよく見て慎重に選んだほうがよいでしょう。
WordPress 内のプラグインや画像が保存されている重要なディレクトリがすべて削除されている、というパターンも多くなってきました。
この場合、バックアップデータがなければ専門業者でも復旧できません。
時間が経過するほど悪化していきますので、異常に気がついたら即対応をおすすめします。
セオリコの修復サービス
弊社でも WordPress 修復サービスをご用意しています。詳細は以下のページをご覧ください。
WordPress 修復サービス(ハッキングによる改ざんへの対応可) | セオリコ
やりとりや料金のお見積り・お支払いはココナラを使用しております。口コミも 200 件以上ありますので、ご利用者様の声もご参考にしていただければと思います。
WordPress エラー・不具合を早急に修正します(ココナラ)
修復の流れは以下のとおりです。
サーバー内を調査し、ハッキングによる改ざんか確認いたします。また、被害状況を調べて正確なお見積りをご提出いたします。
調査は無料です。お見積りをもとに依頼をご検討ください。
ご依頼いただいたのち、すぐ修復作業に入ります。
被害状況にもよりますが、早ければ 1 サイト 2 時間ほどで復旧可能です。
なお、WordPress 本体を総入れ替えする都合上、修復作業中は 30 分 ~ 1 時間ほどサイトの表示が停止します。画像や記事のデータは消えないのでご安心くださいませ。
再び改ざんされないよう、以下の施策を行います。
- パスワードを変更して強化
- ログイン画面にキャプチャ設置
- サイトの状況に合わせたセキュリティプラグインの選定・設置
- 開発が終了しているプラグインのリスト化と代替案
※ 上記の施策をしても、完全に放置しておくと再び攻撃されてしまいます。定期的にログインして本体やプラグインをつねに最新版にしてください。
マルウェアやバックドアなどの不正ファイルが残っていると、数時間で再び改ざんされてしまいます。
サーバーを監視し、不正な攻撃や再発がないかをチェックします。
サーバー監視中に問題がないことを確認の上で納品いたします。
万が一、納品後 2 週間以内に再発した場合は無償で修復いたします。
修復サービスをご利用いただいたサイトのみ、保守管理サービスもご提供しております。
WordPress は放置厳禁のシステムですから、ご自身での管理が難しい場合はご相談ください。
お客様からよくいただく質問
WordPress 修復サービスをご利用いただいたお客様から多く寄せられた質問への回答を共有いたします。
まとめ
ハッキングされたサイトの修復には専門知識が必要です。自力で修復するのが難しい場合は業者に依頼しましょう。
また、無事に復旧したあともメンテナンスを怠っていると再び改ざんされるおそれがあるので、きちんと管理してくださいね。
お困りごとがあればいつでもお気軽にご相談ください。
