WordPress乗っ取り・改ざんへの対処法｜緊急復旧手順と再発防止策【2026年版】

この記事の監修者

齊藤 真也

株式会社ファーストネットジャパン 代表取締役

1998 年創業時からアプリ開発・Web マーケティング・フルリモート SES・ホームページ制作・翻訳・グラフィックデザインなど幅広い IT／クリエイティブ領域を手がけ、4,000 件超のプロジェクトを統括。セキュリティ対策・SEO・システム開発から中小企業のWeb戦略支援まで、技術とデザインの両面でクライアントの課題解決を27年以上にわたり支援してきた。
大阪本社・東京オフィスの2拠点体制で、全国の企業のデジタル化をサポート。
高松市出身。座右の銘は「圧倒的努力」。

WordPressの乗っ取り・改ざん・ハッキングは、企業サイトに対する最も深刻なインシデントの一つです。管理画面に入れない、見覚えのないページが大量に生成される、海外サイトへ強制リダイレクトされる、Google検索結果に「攻撃を受けている可能性があります」と表示される――こうした事象が発生した時点で、サイトの信頼・SEO評価・顧客対応のすべてに直接的な損害が生じます。

本記事では、1998年創業・実績4,000件超のファーストネットジャパンが、WordPress被害の見分け方・緊急復旧手順・依頼時の費用相場・再発防止策までを一気通貫で解説します。被害が疑われる段階でも、復旧依頼を検討中の段階でも、まずはこの記事のチェックリストでご確認ください。

WordPressの乗っ取り・改ざん・ハッキングの違いと共通点

「乗っ取り」「改ざん」「ハッキング」はWebサイト運用の現場では混同して使われがちですが、被害の性質と対処の優先順位が異なります。

共通するのは、いずれも「外部から正規外の操作が行われている」という点です。検出した時点で、被害がサイト内部だけにとどまらず、顧客情報・サーバー権限・関連ドメインまで波及していると想定して動く必要があります。

被害発生時のサイン（症状チェックリスト）

以下の症状が一つでも該当する場合、WordPressが侵害されている可能性が高い状態です。

• 管理画面にログインできない・パスワードが拒否される
• 「ユーザー一覧」に見覚えのない管理者アカウントが存在する
• サイトを開くと海外サイトや出会い系・薬機法違反サイトへリダイレクトされる
• トップページ・記事本文の内容が書き換えられている
• Google検索結果に「このサイトはハッキングされている可能性があります」と表示される
• Search Consoleに「セキュリティの問題」が報告される
• 身に覚えのないURL（/wp-content/uploads/配下のPHPファイル等）が大量に生成されている
• サーバー会社から「不正利用が確認されました」とアラートが届く
• 管理画面の動作が異常に重い・PHPメモリエラーが頻発する
• サイトから不正メールが送信されている

これらのサインは、放置するほどGoogleのインデックスからの除外・ブラウザ警告表示・サーバー強制停止といった二次被害につながります。1つでも該当した場合は即時の対応が必要です。

乗っ取り被害の主な原因

乗っ取り（管理者権限の奪取）は、技術的脆弱性ではなく「認証情報の管理不備」が主因です。

1. 弱いパスワード

「admin」「123456」「会社名＋年号」といった推測可能なパスワードは、自動化されたブルートフォース攻撃で数時間〜数日で破られます。

2. ログインURLの放置

初期設定のままだと管理画面は誰でも「サイトURL/wp-admin/」「サイトURL/wp-login.php」でアクセスできます。攻撃者は世界中のWordPressに対し、この既知のURLへ自動攻撃を仕掛けています。

3. 漏洩済みパスワードの使い回し

他サービスから流出したID・パスワードを使ったクレデンシャルスタッフィング攻撃が増えています。同じパスワードを複数サービスで使うリスクが高まっています。

4. 2段階認証の未設定

ID・パスワード単体での認証のみだと、漏洩した瞬間に侵入を許します。2段階認証（2FA）を設定していれば、パスワードが破られても不正ログインを防げます。

改ざん被害の主な原因

改ざんは「ソフトウェアの脆弱性」を突かれるケースが大半です。

1. プラグインの脆弱性

WordPressの被害事例で最も多いのがプラグイン由来です。更新が止まっているプラグイン、利用者の少ないプラグイン、海外無料サイトから入手したプラグインはリスクが高くなります。

2. テーマの脆弱性

特にnulled（クラック版・違法配布版）の有料テーマには、最初からバックドアが仕込まれているケースが報告されています。費用を抑える目的で導入したテーマが、結果的に数十万円の復旧費用を招きます。

3. WordPress本体の旧バージョン放置

WordPress本体は定期的に脆弱性パッチを含むマイナーアップデートが配信されます。自動更新を無効にしたまま放置しているサイトは、既知の脆弱性をそのまま晒している状態です。

4. サーバー側の設定不備

wp-config.phpのパーミッション設定、ディレクトリリスティングの放置、SSL未設定、ファイルアップロード制限の甘さなど、サーバー側の設定が侵入経路になることもあります。

5. SQLインジェクション・XSS

独自開発のカスタムフォーム・自作プラグインに脆弱性があると、入力フォーム経由でデータベースまで侵入されます。

システム開発・Webシステム構築についてお困りですか？

ファーストネットジャパンでは、1998年の創業から培ってきた知見・経験を基に、業務システム・Webアプリ・アプリ開発など幅広いシステム開発をサポートしています。
システム開発に関することならまずは当社にお問い合わせください。

システム開発のご依頼を

ご検討なら
無料相談・お問い合わせはこちら

被害時の緊急対処手順（復旧フロー）

被害を確認した時点で、以下の手順で対処します。順序を間違えると証拠が消えたり、復旧後に再侵入を許す可能性があるため、慎重に進めてください。

STEP1：サイトを停止する

マルウェアが訪問者のPCに感染する・スパムページがインデックスされ続けるリスクを止めるため、まずサイトをメンテナンスモードまたは一時停止状態にします。サーバーの.htaccessでアクセス制限をかける、サーバー側で公開停止する、といった方法があります。

STEP2：認証情報をすべて変更する

WordPress管理者パスワード、FTP/SFTPパスワード、データベースパスワード、サーバーコントロールパネル、関連するメールアカウント――関係するすべてのパスワードを変更します。同時に、見覚えのない管理者ユーザーは削除します。

STEP3：被害状況を保全する

復旧前に、現在のサイト・データベース・サーバーログを必ずバックアップします。これは後の原因究明と、必要に応じた法的対応のための証拠保全です。バックアップ前にファイルを削除すると、侵入経路が特定できなくなります。

STEP4：マルウェアスキャンと不審ファイルの特定

Wordfence、Sucuri、iThemes Security、All-In-One Securityなどのセキュリティプラグインでサイト全体をスキャンします。並行して、サーバー上で更新日時が不自然なPHPファイル、見覚えのないファイル、wp-content/uploads配下のPHPファイル（本来は画像のみ）を確認します。

STEP5：バックアップから復元する

被害発生前の正常なバックアップが残っている場合は、そこから復元するのが最も確実な方法です。バックアップがない・古すぎる場合は、WordPress本体の再インストール＋クリーンなテーマ・プラグインの再導入＋データベースの精査という流れになります。

STEP6：本体・プラグイン・テーマを最新化

復元後、WordPress本体・プラグイン・テーマをすべて最新バージョンに更新します。サポートが終了しているプラグイン・テーマは、この機会に同等機能の現行プラグインへ置き換えます。

STEP7：Google Search Consoleで再審査リクエスト

Google検索で警告が表示されていた場合は、Search Consoleの「セキュリティの問題」から再審査リクエストを送信します。承認されるまで数日〜数週間かかるため、復旧作業と並行して対応します。

STEP8：監視体制の構築

復旧後、再度同じ手口で侵入されるリスクが高いため、ログイン試行の監視・ファイル変更の監視・定期マルウェアスキャンを導入します。

復旧サービスへの依頼判断と費用相場

自社対応か外部依頼かの判断基準と、復旧サービスの費用相場をまとめます。

自社対応が可能なケース

• 被害発生から24時間以内に正常なバックアップが残っている
• WordPressの基本操作・FTP・データベース操作に習熟した担当者がいる
• マルウェアスキャン結果を読み解ける技術者がいる

外部依頼を推奨するケース

• バックアップがない、または被害発生後のバックアップしか残っていない
• 復旧作業中に再侵入される懸念がある
• 顧客情報・決済情報を扱うサイトで二次被害リスクが高い
• Google検索結果に警告が出ており、早期に再審査を通したい
• 復旧後の継続的な監視・保守を含めて任せたい

復旧サービスの費用相場

復旧費用は被害規模ではなく「侵入経路の特定にかかる時間」と「データの整合性確認の範囲」で決まります。被害発見から早く動くほど費用は抑えられます。

再発防止策（プラグイン・運用ルール）

復旧後に同じ被害を繰り返さないための具体策です。

1. WordPress本体・プラグイン・テーマの自動更新を有効化

マイナーアップデートは自動更新、メジャーアップデートは検証後に手動更新、という運用が現実的です。

2. ログインURLの変更

WPS Hide LoginやSiteGuard WP Pluginなどで、/wp-admin/・/wp-login.phpを別URLに変更します。これだけで自動攻撃の大半を遮断できます。

3. 2段階認証の導入

Google Authenticator・Wordfence Loginなどで2FAを必須化します。管理者全員に適用することが重要です。

4. セキュリティプラグインの導入

Wordfence Security、SiteGuard WP Plugin、All-In-One Security、Sucuri Securityなどから1つを選定して導入します。複数併用はかえって動作不安定になるため避けます。

5. 定期バックアップの自動化

サーバー側のバックアップに加え、外部ストレージ（Amazon S3・Google Drive等）への自動バックアップを最低でも週1回設定します。バックアップが同じサーバー内のみだと、サーバーごと侵害された際に意味をなしません。

6. 不要プラグイン・テーマの削除

無効化したまま放置しているプラグイン・テーマも脆弱性の侵入経路になります。使わないものは「停止」ではなく「削除」します。

7. 管理者アカウントの最小化

管理者権限は本当に必要な人物のみ、編集権限・投稿者権限で十分な担当者にはそちらを付与します。退職者・関係者外のアカウントは即削除します。

8. SSL/HTTPS化とWAF導入

SSLは必須、加えてサーバー提供のWAF（Web Application Firewall）またはCloudflareなどの外部WAFを利用すると、既知の攻撃パターンを通信段階で遮断できます。

ファーストネットジャパンのWordPress復旧・保守サービス

ファーストネットジャパンは、1998年創業・実績4,000件超のWeb制作会社として、WordPressの緊急復旧から再発防止のための運用保守までを一貫してサポートします。

WordPress復旧では、被害状況の調査・侵入経路の特定・マルウェア除去・改ざん箇所の修復・Search Console対応までを一括で対応します。復旧後は月額保守プランで、本体・プラグインの定期更新、脆弱性監視、外部ストレージへの自動バックアップ、24時間の障害監視を継続提供しています。

「被害が出ているかもしれない」「正常か判断がつかない」という段階でも構いません。状況のヒアリングから初期診断までは無料で対応しています。お気軽にご相談ください。

関連記事

【関連記事】
WordPress保守の費用相場と内容
ホームページ保守の重要性と費用
WordPressバックアップの取り方

よくある質問

Q. WordPressが乗っ取られたかどうか自分で判断できますか？

管理画面にログインできない、見覚えのない管理者ユーザーがいる、サイトが海外サイトへリダイレクトされる、Search Consoleに「セキュリティの問題」が報告される、といったサインが一つでもあれば乗っ取り・改ざんの可能性が高い状態です。判断がつかない場合も、ファーストネットジャパンで無料の初期診断を実施しています。

Q. 改ざん被害から復旧するのにどれくらい時間がかかりますか？

被害規模によって異なります。軽度の改ざんで正常なバックアップが残っている場合は1〜2営業日、マルウェア感染を伴う中度の被害で3〜7営業日、フルリビルドが必要な重度の場合は2〜4週間が目安です。早期に着手するほど短期間で復旧できます。

Q. バックアップがない状態でも復旧できますか？

復旧可能です。WordPress本体を再インストールし、データベースから記事・固定ページ・ユーザー情報などのコンテンツを抽出してクリーンな環境に移行する手法を取ります。ただし通常の復旧より工数がかかるため、費用と期間は増加します。日頃から外部ストレージへの自動バックアップを設定しておくことを推奨します。

Q. Google検索結果に警告が表示されています。どう対処すればよいですか？

マルウェアやスパムページを完全に除去した上で、Google Search Consoleの「セキュリティの問題」から再審査リクエストを送信します。承認までは通常数日〜数週間です。警告が表示されている期間は検索流入とCV機会を失い続けるため、復旧作業と並行して早期に申請することが重要です。

Q. 復旧後、再発防止のために何をすべきですか？

WordPress本体・プラグイン・テーマの定期更新、ログインURLの変更、2段階認証の導入、セキュリティプラグインの導入、外部ストレージへの自動バックアップ、不要プラグイン・テーマの削除、管理者アカウントの最小化が基本対策です。これらを自社で運用する負荷が大きい場合は、月額保守プランの利用を検討してください。

Q. 保守契約をしておけば被害は完全に防げますか？

残念ながら100%防ぐことは技術的に不可能です。ただし、定期的なアップデート・監視・バックアップを継続することで、被害発生確率は大幅に下げられます。また、万一の被害発生時にも早期発見・短期復旧が可能になり、結果的に総コストを抑えられます。

まとめ

WordPressの乗っ取り・改ざん・ハッキングは、発見から対応までのスピードが被害規模と復旧コストを決めます。本記事のチェックリストで該当する症状があれば、即時にサイト停止・パスワード変更・バックアップ保全の3点を実施してください。

自社対応で復旧の見通しが立たない場合、Search Consoleに警告が出てしまった場合、復旧後の運用体制をプロに任せたい場合は、ファーストネットジャパンへご相談ください。1998年創業・実績4,000件超の知見をもとに、復旧から再発防止までを一気通貫でサポートします。

システム開発・Webシステム構築についてお困りですか？

ファーストネットジャパンでは、1998年の創業から培ってきた知見・経験を基に、業務システム・Webアプリ・アプリ開発など幅広いシステム開発をサポートしています。
システム開発に関することならまずは当社にお問い合わせください。

システム開発のご依頼を

ご検討なら
無料相談・お問い合わせはこちら

この記事の監修者

齊藤 真也

株式会社ファーストネットジャパン 代表取締役

1998 年創業時からアプリ開発・Web マーケティング・フルリモート SES・ホームページ制作・翻訳・グラフィックデザインなど幅広い IT／クリエイティブ領域を手がけ、4,000 件超のプロジェクトを統括。セキュリティ対策・SEO・システム開発から中小企業のWeb戦略支援まで、技術とデザインの両面でクライアントの課題解決を27年以上にわたり支援してきた。
大阪本社・東京オフィスの2拠点体制で、全国の企業のデジタル化をサポート。
高松市出身。座右の銘は「圧倒的努力」。