小ネタ君「突然サイトが真っ白に…」「見知らぬ投稿が表示されている…」
こうした異常に気づいたとき、すでにハッキング被害が発生しているかもしれません。
本記事では、WordPress初心者でも理解できるよう、ハッキングの原因と対策、復旧方法まで丁寧に解説します。
WordPressがハッキングされるとは?その仕組みとリスク
WordPressは世界中で利用されているため、攻撃の対象にもなりやすいCMSです。
ここでは、そもそもハッキングとは何か、どんな被害が起きるのかを解説します。
ハッキングとは何か
ハッキングとは、第三者がサイトに不正アクセスして、意図しない操作や改ざんを行う行為です。
管理者が知らないうちに悪質なコードを埋め込まれることもあります。
悪意のある攻撃者は、様々な手法を使ってサイトに侵入します。
パスワードを総当たりで解析したり、プラグインの脆弱性を突いたりするのが一般的です。
WordPressが狙われやすい理由
WordPressが攻撃の標的になりやすい理由は複数あります。
まず、全世界のウェブサイトの約40%がWordPressで作られているという圧倒的なシェアがあります。
攻撃者にとって、多くのサイトに同じ手法で攻撃を仕掛けられるため、効率的なターゲットとなっています。
さらに、多くのユーザーが初心者であることも、攻撃者に付け入る隙を与えています。
具体的な理由は以下の通りです:
- 世界的なシェア率が高く、攻撃対象として目立つ
- 脆弱なプラグインやテーマを使っているサイトが多い
- 初心者が管理しているケースが多く、対策が甘いことがある
- オープンソースなので、内部構造が公開されている
ハッキングによる主な被害
ハッキング被害は、サイトの規模や用途によって深刻度が異なります。
個人ブログから企業サイトまで、様々な形で被害が発生します。
| 被害内容 | 影響例 | 対処の緊急度 |
|---|---|---|
| サイト改ざん | トップページが書き換えられる | 高 |
| スパム送信 | サイト経由で迷惑メールが送られる | 高 |
| リダイレクト | 見知らぬ海外サイトに飛ばされる | 高 |
| 情報漏洩 | 顧客の個人情報が盗まれる | 最高 |
| SEO汚染 | 検索結果に不適切な内容が表示される | 中 |
ハッキングの手法と攻撃パターン
攻撃者が使用する主な手法を理解することで、適切な対策を講じることができます。
代表的な攻撃手法には以下があります。
ブルートフォース攻撃は、管理画面のログインパスワードを機械的に試行する方法です。
「admin」「123456」のような簡単なパスワードから順に試していきます。
SQLインジェクションは、データベースに不正なコードを送り込む攻撃です。
お問い合わせフォームなどの入力欄を悪用して、データベースの情報を盗み出します。
ハッキングの兆候を見逃さない!早期発見のポイント
「何か変だな」と感じたときに、すぐに対処できるかどうかが被害拡大を防ぐ鍵です。
ここでは、初心者でも気づけるサインを紹介します。
サイト表示が遅い・真っ白になる
普段より表示速度が遅い、あるいは何も表示されなくなった場合は注意が必要です。
JavaScriptの改ざんや不正コードが原因の場合があります。
サイトの表示速度が急激に遅くなった場合、バックグラウンドで不正なプログラムが動いている可能性があります。
また、「Fatal Error」や「Internal Server Error」が頻繁に発生する場合も要注意です。
参考:WordPressが真っ白になる9つの原因と対処法をプロが解説
ログインできない・管理者権限が変更されている
ログイン情報が通らない、管理者の権限が消えているといった場合は、ハッキングの可能性が高いです。
新しい管理者アカウントが追加されていることもあります。
攻撃者は侵入後、自分用の管理者アカウントを作成し、元の管理者を削除または権限を変更します。
定期的にユーザー一覧を確認し、見覚えのないアカウントがないかチェックしましょう。
参考:WordPress管理画面にログインできない5つの原因と解決策
見覚えのない投稿やファイルがある
英語や中国語で書かれた投稿、突然増えた画像やJavaScriptファイルには要注意です。
自動生成されたスパムコンテンツの可能性があります。
攻撃者は、SEOスパムや不正なリンクを埋め込むために、大量の投稿を自動生成することがあります。
投稿一覧やメディアライブラリを定期的にチェックし、異常な増加がないか確認してください。
Googleからの警告
「このサイトは安全でない可能性があります」と表示された場合、Googleがサイトを危険と判断しています。
早急な対処が必要です。
Google Search Consoleに登録している場合、セキュリティの問題が検出されるとメールで通知されます。
この警告を無視すると、検索結果からサイトが除外される可能性があります。
不審なネットワーク活動
サーバーの通信ログを確認できる場合は、不審なアクセスパターンがないかチェックしてください。
短時間で大量のアクセスがあったり、海外からの不審なアクセスが急増していたりする場合は要注意です。
ハッキングされたときの初動対応と復旧手順
被害に気づいたら、まずは冷静に対処することが重要です。
初心者でも取り組める基本的な復旧手順を解説します。
緊急時の初動対応
ハッキング被害を確認したら、以下の順序で対応してください。
まず、被害の拡大を防ぐことが最優先です。
- サイトをオフラインにする
- 関係者への連絡
- 証拠の保全
- 専門家への相談(必要に応じて)
メンテナンスモードにしてアクセス制限
訪問者への被害拡大を防ぐため、まずはメンテナンスモードに切り替えます。
プラグイン「WP Maintenance Mode」や「Coming Soon Page & Maintenance Mode」などを活用すると便利です。
メンテナンスモードが設定できない場合は、サーバーの設定でアクセス制限をかけることも可能です。
.htaccessファイルを編集して、特定のIPアドレスからのみアクセスを許可する設定にしましょう。
管理画面に入れない場合の対処法
FTPクライアントやサーバーのファイルマネージャーから直接wp-config.phpや.htaccessを確認しましょう。
異常な記述がないか確認し、バックアップと比較するのも有効です。
管理画面にアクセスできない場合は、データベースから直接ユーザー情報を変更することができます。
phpMyAdminなどのツールを使って、管理者パスワードをリセットしてください。
バックアップから復元する
定期的にバックアップを取っている場合は、それを使って安全な状態に戻すのが最も確実です。
「BackWPup」や「UpdraftPlus」などのプラグインを利用して復元できます。
バックアップがない場合は、クリーンインストールから始める必要があります。
WordPressの最新版をダウンロードし、データベースを初期化してから再構築しましょう。
不正ファイル・コードを削除する
不審なJavaScriptや<iframe>タグが挿入されていないかをチェックしましょう。
見覚えのないPHPファイルがある場合は削除を検討してください。
※以下のコードは参考例です。実際の環境に合わせて調整してください
<?php
// 不審なコードの例(削除対象)
eval(base64_decode('悪意のあるコード'));
?>
このような不審なコードを発見したら、すぐに削除してください。
ファイルの更新日時も確認し、最近変更されたファイルを重点的にチェックしましょう。
WordPressをハッキングから守る基本的な予防策
ハッキング被害を防ぐためには、日頃からのセキュリティ対策が不可欠です。
初心者でもすぐに実践できる項目を中心に解説します。
WordPress・プラグイン・テーマの更新
ソフトウェアの古いバージョンには脆弱性が残っていることがあります。
定期的な更新を習慣化しましょう。
WordPressの自動更新機能を有効にしておくと、セキュリティアップデートが自動で適用されます。
ただし、プラグインやテーマの更新は、事前にバックアップを取ってから行うことをおすすめします。
強固なパスワードを設定する
名前+誕生日などの簡単なパスワードは危険です。
英数字+記号を組み合わせたパスワードを使い、2段階認証も併用しましょう。
強固なパスワードの条件:
- 12文字以上の長さ
- 大文字・小文字・数字・記号を混在
- 辞書に載っている単語を避ける
- 個人情報(名前、生年月日など)を含まない
管理画面URLの変更
WordPressのログインURLは標準でwp-login.phpです。
攻撃の入り口になりやすいため、URLを変更することで被害を軽減できます。
プラグイン「WPS Hide Login」や「Loginizer」を使用すると、簡単にログインURLを変更できます。
変更後は、新しいURLをブックマークしておくことを忘れないでください。
管理者アカウントの名前を「admin」にしない
「admin」は狙われやすいため、ユニークなユーザー名を使いましょう。
既存のユーザー名を変更する場合は、新しいユーザーを作成してから古いユーザーを削除する方法が安全です。
この際、投稿の著者も新しいユーザーに変更することを忘れないでください。
ファイル権限の適切な設定
WordPressのファイルやディレクトリには、適切な権限を設定する必要があります。
不適切な権限設定は、攻撃者に付け入る隙を与えてしまいます。
推奨されるファイル権限:
- ディレクトリ:755
- ファイル:644
wp-config.php:600
セキュリティ強化に役立つおすすめプラグイン
初心者でも簡単にセキュリティを高められるプラグインを活用することで、より安全なサイト運営が可能になります。(2025年7月現在)
Wordfence Securityの特徴
総合セキュリティプラグインで、ファイアウォールやスキャン機能を備えています。
無料版でも充分な保護機能があり、導入のハードルが低いのが魅力です。
Wordfenceの主な機能:
- リアルタイムファイアウォール
- マルウェアスキャン
- ログイン試行制限
- 脆弱性のモニタリング
- 国別アクセス制限
All In One WP Security & Firewall
UIが日本語化されており、初心者にも操作しやすいです。
ログイン試行制限やファイル保護など、細かな機能が揃っています。
このプラグインは、セキュリティ対策をレベル別に管理できるのが特徴です。
基本・中級・上級の3段階で設定できるため、知識レベルに応じた対策が可能です。
iThemes Security
設定画面が分かりやすく、ダッシュボードから一括で管理できます。
ログ監視やデータベース保護機能もあり、カスタマイズ性が高いです。
プロ版では、2段階認証やスケジュールされたスキャンなど、より高度な機能が利用できます。
企業サイトや重要なサイトでは、プロ版の導入を検討してください。
プラグイン使用時の注意点
セキュリティプラグインを使用する際は、以下の点に注意してください:
- セキュリティ系プラグインは複数併用しない
- サイト速度に影響が出る場合がある
- 有効化後は設定項目を1つずつ確認すること
- 定期的にプラグイン自体の更新を行う
バックアップ専用プラグインの活用
セキュリティ対策と並行して、定期的なバックアップも重要です。
「UpdraftPlus」や「BackWPup」などのプラグインを使用して、自動バックアップを設定しましょう。
バックアップは、複数の場所に保存することをおすすめします。
サーバー内だけでなく、クラウドストレージや外部サービスにも保存しておくと安心です。
高度なセキュリティ対策と継続的な保護
基本的な対策に加えて、より高度なセキュリティ対策を実施することで、さらに安全性を高めることができます。
SSL証明書の導入
SSL証明書を導入することで、サイトとユーザー間の通信が暗号化されます。
現在では、無料のSSL証明書も多く提供されており、導入のハードルは低くなっています。
セキュリティヘッダーの設定
HTTPセキュリティヘッダーを設定することで、様々な攻撃から保護できます。
.htaccessファイルに以下のような設定を追加しましょう。
※以下の設定は環境に応じて調整してください
Header always set X-Content-Type-Options nosniff Header always set X-Frame-Options DENY Header always set X-XSS-Protection "1; mode=block"
定期的なセキュリティ監査
月に1回程度、サイトの状態を確認する習慣を身につけましょう。
不審なファイルやユーザーアカウントがないか、定期的にチェックしてください。
侵入検知システムの導入
より高度な対策として、侵入検知システム(IDS)の導入も検討できます。
サーバーレベルでの監視により、攻撃を早期に発見できます。
まとめ
小ネタ君WordPressのハッキングは、誰にでも起こり得るリスクです。
しかし、日常的なセキュリティ対策や早期発見、正しい初動対応によって被害を最小限に抑えることができます。
今回ご紹介した対策はすべて初心者でも取り組める内容です。
まずは1つずつ、できるところから実行して、安心できるサイト運営を目指しましょう。
セキュリティ対策は一度設定すれば終わりではなく、継続的な取り組みが重要です。
定期的な更新、バックアップの確認、セキュリティプラグインの設定見直しなど、日頃からの備えが大切です。
