「あれ、サイトの表示がおかしい…」「管理画面にログインできない!」
ある日突然、自分のサイトがこんな状態になっていたら、あなたはどうしますか?血の気が引くような感覚に襲われ、パニックになってしまうかもしれません。でも、そんな時こそ冷静な対応が求められます。
実は、ハッキング被害に遭った直後の「初動対応」を間違えると、被害がさらに拡大したり、復旧のチャンスを永遠に失ってしまったりする可能性があるのです。これは、火事の初期消火と同じ。最初の数分、数時間の行動が、その後の運命を大きく左右します。
僕の知人が運営していたECサイトも、ある日突然ハッキングされました。幸い初動対応を適切に行ったため、被害を最小限に抑えられましたが、もし対応を誤っていたら、顧客情報の流出という最悪の事態になっていたかもしれません。
この記事では、万が一あなたのWordPressサイトがハッキングの被害に遭ってしまった場合に、被害を最小限に食い止め、確実に復旧への道を切り拓くための「7つの初動対応ステップ」を、具体的な手順に沿って徹底的に解説します。
「何から手をつければいいかわからない!」という混乱した状態でも、この記事を上から順番に読み進めていけば、次に何をすべきかが明確になるはずです。落ち着いて、一つずつ着実にこなしていきましょう。未来のサイトを守るための、最も重要な数時間が始まります。
ハッキングの兆候を見逃すな!こんな症状が出たら要注意
まず、あなたのサイトが本当にハッキングされているのかを確認しましょう。以下のような症状が1つでも当てはまる場合、ハッキングの可能性が高いです。
よくあるハッキングの兆候:
- サイトのトップページが見知らぬ内容に書き換えられている
- 全く関係のない外国語のページが大量に生成されている
- 勝手に別のサイトにリダイレクトされる
- Google検索結果に「このサイトは第三者によってハッキングされている可能性があります」という警告が表示される
- 管理画面にログインできない、またはログイン画面が見慣れないデザインになっている
- 見覚えのないユーザーアカウントが追加されている
- サーバーの容量が急激に増えている、またはサイトの表示速度が極端に遅くなった
- セキュリティプラグインから「マルウェアを検出しました」という通知が届いた
これらの症状は、あなたのサイトが既に攻撃者の手に落ちている可能性を示しています。一刻も早く対処しなければ、被害はどんどん拡大していきます。
冷静さが鍵!まず絶対にやってはいけない2つのNG行動
パニックになると、つい「早く元に戻さなきゃ!」と焦って行動してしまいがちです。しかし、その行動が取り返しのつかない事態を招くことがあります。まず、以下の2つの行動は「絶対に」しないでください。
NG行動1:安易にファイルを削除する
「見慣れないファイルがあるから、とりあえず消してしまえ!」これは最悪の選択です。その不審なファイルこそ、ハッカーがどのように侵入し、何をしたのかを示す唯一の「犯行現場の証拠」かもしれないからです。
証拠を消してしまうと、
- 侵入経路が特定できない → 同じ手口で再度攻撃される
- 被害範囲がわからない → 気づかない場所にバックドアが残っている
- 法的な対応が困難になる → 訴訟や保険請求の際に証拠がない
という事態に陥り、根本的な解決が不可能になります。
実際、あるサイト運営者が不審なファイルを削除してしまったために、侵入経路が特定できず、同じ手口で3度もハッキングされるという悲劇が起こりました。
NG行動2:焦ってバックアップから復元する
「バックアップがあるから大丈夫!」と、すぐに正常だった頃のデータで上書きしてしまうのも危険です。なぜなら、バックアップデータが本当に「クリーン」である保証がないからです。
- バックアップ自体が既に感染していたら、マルウェアを再インストールするのと同じです。
- どの時点のバックアップが安全かを判断するには、まず現状の被害状況を正確に把握する必要があります。
- 復元後に再度侵入される可能性があり、同じことの繰り返しになります。
まずは現状を保全し、調査することが最優先。復元作業は、すべての調査と計画が終わってから行う最後のステップです。
【7ステップ】ハッキング発覚後の初動対応完全ロードマップ
では、具体的に何をすべきか。以下の7つのステップを順番に実行してください。この順番が非常に重要です。
ステップ1:サイトを隔離する(被害拡大の防止)
目的:二次被害を防ぐこと
ハッキングされたサイトを放置すると、あなたのサイトがマルウェアの配布元になったり、訪問者の個人情報が盗まれたり、他のサイトへの攻撃の踏み台にされたりする可能性があります。まずは、サイトをインターネットから隔離し、被害の拡大を食い止めましょう。
具体的な方法:
方法1:.htaccessでアクセス制限をかける
一時的に「現在メンテナンス中です」といった静的なページを表示させます。一番手軽なのは、.htaccessファイルを使って特定のIPアドレス(あなたのIPアドレス)以外からのアクセスをすべて拒否する方法です。
“`apache
.htaccess に記述
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx ← あなたのIPアドレス
自分のIPアドレスは、「確認くん」などのサイトで簡単に調べられます。
方法2:サーバーの管理パネルでアクセスを制限する
レンタルサーバーによっては、管理パネルから簡単にIPアドレス制限や国外IPアドレスからのアクセスをブロックできる機能があります。エックスサーバーやConoHa WINGなどの主要レンタルサーバーには、こうした機能が標準装備されています。
方法3:メンテナンスモードプラグインを使う
もし管理画面にまだログインできる状態なら、「WP Maintenance Mode」などのプラグインを使って、訪問者に「メンテナンス中」のページを表示させることもできます。ただし、プラグイン自体が改ざんされている可能性もあるため、できればサーバー側での制限が望ましいです。
この段階では、サイトを完全に止める勇気が必要です。売上が落ちることを心配する気持ちは分かりますが、信頼を失う方がはるかに大きな損害につながります。訪問者があなたのサイト経由でマルウェアに感染したら、それこそ取り返しのつかない事態です。
ステップ2:証拠を保全する(現状のフルバックアップ)
目的:侵入経路と被害範囲を特定するための証拠を確保すること
ステップ1でサイトを隔離したら、次に「ハッキングされた状態のまま」サイトの完全なコピーを保存します。これが後の調査で非常に重要になります。
バックアップ対象
1. 全ファイルのバックアップ
FTPソフト(FileZillaなど)を使って、WordPressがインストールされているディレクトリ(public_htmlなど)内のすべてのファイルを、ご自身のPCにダウンロードします。
ファイル数が多い場合は時間がかかりますが、必ず全ファイルをダウンロードしてください。特に以下のディレクトリは重要です:
wp-content/(プラグイン、テーマ、アップロードファイル)wp-includes/(WordPressコアファイル)wp-admin/(管理画面ファイル)- ルートディレクトリの
.htaccessやwp-config.php
2. データベースのバックアップ
サーバーの管理パネルにある「phpMyAdmin」にアクセスし、データベース全体をエクスポート(.sqlファイルとしてダウンロード)します。
手順:
- phpMyAdminにログイン
- 左側のメニューから該当のデータベース名をクリック
- 上部メニューの「エクスポート」をクリック
- 「エクスポート方法」は「詳細」を選択
- 「実行」ボタンをクリックしてダウンロード
3. 各種ログの保存
サーバーのアクセスログ、エラーログ、WAFログなどを、サーバーの管理パネルからダウンロードします。これらのログには、攻撃者のIPアドレスや侵入時刻などの重要な情報が記録されています。
ただし、ログの保存期間は通常7日〜30日程度と限られているため、真っ先に確保しましょう。時間が経つと上書きされて消えてしまいます。
ダウンロードしたデータは、安全な場所(外付けHDDやクラウドストレージ)に保管してください。この「汚染されたバックアップ」が、専門家が調査を行う際の最も重要な資料となります。
ステップ3:全てのパスワードを変更する
目的:攻撃者にこれ以上操作させないこと
攻撃者が何らかのパスワードを盗んでいる可能性が非常に高いです。関連するすべてのパスワードを、より強力なものに変更しましょう。
変更すべきパスワード一覧
1. WordPressの全ユーザー
管理画面の「ユーザー」から、すべてのユーザーのパスワードを変更します。特に管理者権限を持つユーザーは最優先です。
2. レンタルサーバーのコントロールパネル
サーバー会社の管理画面にログインするためのパスワードも変更します。
3. FTP / SSHアカウント
ファイルにアクセスするためのFTPアカウントやSSHアカウントのパスワードも変更が必要です。
4. データベース(MySQL)ユーザー
phpMyAdminにアクセスするためのパスワードも変更しましょう。
5. wp-config.phpの認証用ユニークキー
WordPressのwp-config.phpファイルには、セッションを暗号化するための「認証用ユニークキー」が記載されています。これを新しいものに変更することで、攻撃者が盗んだセッション情報を無効化できます。
新しいキーは、WordPress公式のキー生成サービスで生成できます。
パスワードは、それぞれ全く異なる、推測されにくい文字列(英大文字・小文字・数字・記号を組み合わせた16文字以上)に設定し、パスワード管理ツール(1Password、Bitwardenなど)で管理することを強く推奨します。
ステップ4:不審なユーザーを洗い出す
目的:攻撃者が作成した不正なアカウントを削除すること
攻撃者は、再侵入のために不正な管理者アカウントを作成していることがよくあります。WordPressの管理画面にログインし、「ユーザー」一覧を確認してください。
チェックポイント
- 見覚えのないユーザーがいないか?
- 身に覚えのない管理者権限のユーザーが追加されていないか?
- 最近ログインした日時が不自然なユーザーはいないか?
- メールアドレスが不審なユーザーはいないか?(例:
admin@example.comなど)
不審なアカウントを見つけたら、即座に削除します。ただし、削除する前に、そのユーザー名とメールアドレスをメモしておくと、後の調査で役立ちます。
また、既存の正規ユーザーも、一度パスワードをリセットして再設定するのが安全です。WordPressの機能で「すべてのセッションからログアウト」を実行し、不正なログイン状態を強制的に解除するのも有効です。
ステップ5:被害範囲を特定する
目的:どこまで被害が及んでいるかを把握すること
証拠保全と応急処置が終わったら、被害の全体像を把握します。
1. ファイルの改ざんチェック
バックアップしたファイルと、正常な状態のWordPressコアファイルやプラグインのファイルを比較し、改ざん・追加されたファイルがないか確認します。
よく狙われる場所:
wp-content/uploads/(PHPファイルが置かれることが多い)wp-includes/(コアファイルの改ざん).htaccess(リダイレクト設定の追加)wp-config.php(データベース情報の窃取)
特に、wp-content/uploadsディレクトリに拡張子が.phpのファイルがあったら、ほぼ間違いなく不正なファイルです。通常、このディレクトリには画像やPDFなどのメディアファイルしか置かれません。
2. データベースの不正データチェック
データベース内に不正なコードが埋め込まれていないか確認します。特に以下のテーブルを重点的にチェックしてください:
wp_posts(投稿・固定ページ)wp_options(サイトの設定情報)wp_users(ユーザー情報)
不審なJavaScriptコードや、見覚えのないリンクが埋め込まれていないか確認します。
3. Google検索結果の確認
site:あなたのドメイン名でGoogle検索し、身に覚えのないページ(中国語のページ、アダルトコンテンツなど)が表示されないか確認します。
4. Googleセーフブラウジングの確認
https://transparencyreport.google.com/safe-browsing/search?url=あなたのドメイン名 にアクセスし、サイトが危険なサイトとしてリストされていないか確認します 。
もしリストされていた場合、復旧後にGoogleに再審査をリクエストする必要があります。
5. ブラックリストチェック
メールサーバーとしても使っている場合、スパムメール送信の踏み台にされていないか、ブラックリストに登録されていないかを確認します。MXToolboxなどのサービスで確認できます。
ステップ6:関係者への連絡と告知
目的:関係者と連携し、透明性を確保すること
被害の状況に応じて、関係各所への連絡と、必要であればユーザーへの告知を行います。
1. 社内報告
上司や関連部署に状況を報告し、対応を協議します。特に、個人情報を扱うサイトの場合は、法務部門やコンプライアンス担当者にも速やかに報告する必要があります。
2. レンタルサーバー会社への連絡
サーバー側で何かわかる情報がないか問い合わせます。また、同じサーバー内の他のサイトにも被害が及んでいないか確認してもらいましょう。
3. ユーザーへの告知
個人情報漏洩の可能性がある場合や、サイトの停止が長引く場合は、速やかにウェブサイトやSNSで状況を告知し、謝罪する必要があります。
告知すべき内容:
- 何が起きたのか(ハッキング被害に遭った)
- いつ発覚したのか
- どのような情報が漏洩した可能性があるのか
- 現在どのような対応をしているのか
- ユーザーに何をしてほしいのか(パスワード変更など)
誠実な対応が、信頼の失墜を最小限に抑えます。隠蔽しようとすると、後で発覚した時に取り返しのつかない事態になります。
ステップ7:復旧計画を立てる(自力 or 専門家)
目的:サイトを安全な状態に戻すための計画を決定すること
ここまでの調査結果をもとに、サイトをどのように復旧させるかを決定します。
選択肢1:自力で復旧
自分でクリーンなファイルを用意し、データベースを精査して復旧作業を行います。時間と専門知識が必要ですが、コストを抑えられます。
自力復旧に必要なスキル:
- FTPやSSHの操作
- phpMyAdminの操作
- WordPressのファイル構造の理解
- マルウェアコードの識別
選択肢2:専門業者に依頼
セキュリティの専門業者に調査と復旧を依頼します。費用はかかりますが、最も確実で安全な方法です。原因究明と再発防止策まで提案してくれる場合が多いです。
専門業者に依頼するメリット:
- 確実にマルウェアを除去できる
- 侵入経路を特定してくれる
- 再発防止策を提案してくれる
- 復旧作業の時間を大幅に短縮できる
もし少しでも不安があれば、迷わず専門業者に相談することをお勧めします。中途半端な復旧は、再発のリスクを抱え続けることになります。
復旧後に必ずやるべき再発防止策
無事にサイトを復旧できたら、同じ被害に遭わないための対策を必ず実施しましょう。
基本的な再発防止策
- WordPress本体、プラグイン、テーマを常に最新に保つ
- 不要なプラグインやテーマを削除する
- セキュリティプラグインを導入する(Wordfence、SiteGuard WP Pluginなど)
- 二要素認証を導入する
- 定期的なバックアップを自動化する
- WAF(Web Application Firewall)を有効にする
- 管理画面のログインURLを変更する
これらの対策については、別の記事で詳しく解説していますので、ぜひ参考にしてください。
まとめ:パニックにならず、冷静な初動対応を
WordPressサイトのハッキングは、誰にでも起こりうる悪夢です。しかし、被害に遭った時にパニックにならず、この記事で紹介した7つのステップを冷静に実行することで、被害を最小限に食い止め、着実に復旧への道を歩むことができます。
重要なのは、「証拠保全」→「被害拡大防止」→「調査」→「復旧計画」という順番です。
焦って証拠を消してしまったり、安易にバックアップで復元してしまったりすると、同じ被害を繰り返すことになります。落ち着いて、一つずつ確実に対応していきましょう。
この経験は、あなたのサイトのセキュリティを根本から見直す絶好の機会でもあります。復旧後は、なぜハッキングされたのか原因を突き止め、二度と同じ過ちを繰り返さないための恒久的な対策を必ず実施しましょう。
「うちのサイト、今どのくらい安全なんだろう?」
そんな疑問を持った方は、まずセキュリティ診断を受けてみるのもいいかもしれません。最近では、30秒ほどでサイトの安全性をチェックできる無料診断サービスもあります。暗号化の設定やプラグインの脆弱性、情報漏れのリスクなど、気になるポイントを一通り確認できます。
WordPressセキュリティ診断 https://rescue-wordpress.com
実は、毎日100サイト以上がハッキングの被害に遭っているという現実があります 。「まさか自分のサイトが狙われるなんて」と思っていても、被害は突然やってきます。
早めに問題を見つけて対処しておけば、大きなトラブルを未然に防げます。まずは自分のサイトの「健康診断」から始めてみませんか?