WordPressに急にログインできなくなった、知らない管理者が増えていた、検索結果に怪しいページが出ている。
そんな時は「乗っ取られたかもしれない」と感じても、何から手を付ければよいか分からず焦りやすいものです。
ただ、ここで焦ってファイルを消したり、闇雲に初期化したりすると、証拠が消えたり、復旧が難しくなったりします。
WordPressが乗っ取られた時は、被害を広げない順番で初動対応することが大切です。
WordPressの復旧を多数手がけてきたよこやま良平です。わたしの現場経験をもとに、WordPressが乗っ取られた時に最初にやることを、初心者にも分かりやすく整理して解説します。
- WordPressが乗っ取られた時に最初に確認するポイント
- 被害拡大を防ぐために止めるべきこと
- 初心者でも進めやすい初動対応の順番
- 復旧前に残すべき情報とバックアップの考え方
- 再発防止のために見直す設定
WordPressの乗っ取りは、見えている症状だけでは判断しきれないことがあります。
管理画面の不正ログイン、改ざん、マルウェア感染、リダイレクト、不正ページ生成が同時に起きている場合もあるためです。
この記事では、被害確認、応急停止、保存、復旧準備、再発防止の順番で、無理のない対応方法をまとめます。
WordPressが乗っ取られた時に最初にやることは症状の確認です
WordPressが乗っ取られた時に最初にやることは、いきなり削除や初期化ではなく、今どんな被害が起きているかを確認することです。
理由は、乗っ取り被害の内容によって次の対応が変わるからです。
ログイン不能なのか、不正な管理者追加なのか、別サイトへ飛ばされるのかで、止めるべき被害も優先順位も違います。
- 管理画面にログインできない、またはパスワードが勝手に変わっている
- 知らない管理者ユーザーや不明なプラグインが追加されている
- トップページや固定ページの内容が書き換わっている
- 検索結果に怪しい日本語や外国語のページが増えている
- アクセスすると別サイトへ飛ばされる、警告が表示される
この時点で、画面のスクリーンショット、発生時刻、直前に行った更新や設定変更を残してください。
短いメモでも十分です。後で侵入経路や発生タイミングを考える材料になります。
もしGoogle検索結果に変なページが出ているなら、サイト内部だけでなく、インデックス汚染も起きている可能性があります。
「見た目は普通なのに検索結果だけおかしい」というケースもあるため、検索結果も確認しておくと安全です。
WordPressが乗っ取られた時は被害拡大を止める対応を優先します
WordPressが乗っ取られた時は、完全復旧より先に、被害拡大を止める対応を優先するのが基本です。
理由は、放置している間にも不正ページ生成、スパム送信、別サイトへの攻撃、顧客情報への影響が広がることがあるからです。
まずは「これ以上広げない」ための応急処置を進めましょう。
- 不正ログインの継続
- サイト訪問者へのリダイレクト被害
- スパムページや改ざんページの増殖
- 不正プラグインや不審ファイルの追加
- 管理者権限の悪用
できれば一時的にサイトをメンテナンス状態にする、ログインURLを確認する、サーバー管理画面から不審なユーザーやジョブがないか確認するなど、被害の広がりを止める行動を取ります。
ただし、意味が分からないまま設定ファイルを書き換えるのは危険です。
応急停止をしたい場合でも、復元できる状態を確保してから進める方が安全です。
WordPressが乗っ取られた時にバックアップと証拠保存が必要な理由
WordPressが乗っ取られた時でも、作業前のバックアップと証拠保存は必要です。
感染済みのバックアップはそのまま復元用に使えないことがありますが、元の状態を比較する材料になります。
また、どのファイルが書き換わっていたか、どのユーザーが追加されていたかを後で確認できるようになります。
- WordPressファイル一式
- データベースのバックアップ
- .htaccess、wp-config.php などの設定ファイル
- サーバーのエラーログとアクセスログ
- 不正ユーザーや改ざん画面のスクリーンショット
初心者の方は、レンタルサーバーの自動バックアップ機能やファイルマネージャーのダウンロード機能を使うのが現実的です。
FTPに慣れていないなら、無理に複雑な方法を選ばなくても構いません。

WordPressが乗っ取られた時に初心者がやってはいけない操作
WordPressが乗っ取られた時に初心者がやってはいけないのは、原因が分からないまま消す、上書きする、初期化することです。
乗っ取りは、テーマやプラグインだけでなく、uploadsフォルダ、データベース、Cron、管理者ユーザー、サーバー設定まで影響していることがあります。
見つけた1か所だけ直して安心すると、再侵入や再改ざんにつながります。
- バックアップなしで怪しいファイルを削除する
- 意味が分からないコードを勘で消す
- WordPress本体だけ上書きして終わらせる
- 管理者パスワード変更だけで解決したと判断する
- 復旧後に再発防止設定をしない
特に、`.htaccess`、`wp-config.php`、`functions.php`、データベースの改変は影響が大きいため、確信が持てないなら触らない方が安全です。
被害を大きくしない判断も、立派な初動対応です。
WordPressが乗っ取られた時にログインできる場合とできない場合の動き方
WordPressが乗っ取られた時は、まだ管理画面に入れるかどうかで、最初に取れる対応が変わります。
ログインできるなら、不正ユーザー確認、プラグイン確認、更新状況確認など、管理画面から見える範囲の点検ができます。
反対にログインできない場合は、サーバー側の確認とパスワード再発行、ログの確認が中心になります。
- ログインできる場合: 管理者一覧、不審プラグイン、投稿一覧、固定ページの改ざん確認を優先する
- ログインできない場合: サーバー管理画面、メールアドレス、データベース接続、ログインURLの変化を確認する
- どちらでも共通: 作業前のバックアップとスクリーンショット保存を行う
ログインできる場合でも、すぐに記事を更新したり、見た目だけ直したりするのはおすすめできません。
先に管理者ユーザー一覧、インストール済みプラグイン、最近更新されたファイルの有無を見て、被害の範囲を把握してください。
ログインできない場合は、パスワード再発行メールが届くか、サーバーの障害通知が出ていないか、`wp-login.php` へのアクセスが遮断されていないかを確認します。
ここで「管理画面に入れないから完全に乗っ取りだ」と決めつけず、周辺症状も一緒に見て判断することが大切です。
WordPressが乗っ取られた時の復旧前チェックと再発防止の基本
WordPressが乗っ取られた時は、復旧前チェックと再発防止まで考えて初めて安全に近づきます。
見た目が戻っても、侵入口が残っていればまた被害が起きます。
そのため、復旧作業と同じくらい、アカウント、更新状態、不要データ、実行権限の見直しが重要です。
- 不要な管理者ユーザーが残っていないか確認する
- 使っていないプラグインとテーマを削除する
- WordPress本体、テーマ、プラグインを更新する
- 全パスワードを強いものへ変更する
- uploads 配下の PHP 実行制限などサーバー設定を見直す
- Google Search Console や検索結果の汚染も確認する
たとえば、Apache環境で uploads フォルダ内の PHP 実行を止めたい場合、以下のような設定が使われることがあります。
ただし、サーバー構成によっては書き方が異なるため、分からない場合はそのまま適用しないでください。
<FilesMatch "\.php$">
Require all denied
</FilesMatch>このような設定は再発防止に役立つことがありますが、環境に合わないまま入れると正常動作に影響することもあります。
設定を変える時は、必ずバックアップを取ってから進めてください。
WordPressが乗っ取られた時の初動対応は時系列で整理すると動きやすいです
WordPressが乗っ取られた時は、頭の中で考えるより、時系列でやることを並べた方が落ち着いて動けます。
被害に気づいた直後は、誰でも焦ります。
そのため「まず確認」「次に保存」「その後に制限」という順番を決めておくと、余計な削除や見落としを減らしやすくなります。
- 異常画面、検索結果、リダイレクトの有無を確認する
- スクリーンショットと発生時刻を残す
- ファイルとデータベースのバックアップを取る
- 不審な管理者ユーザー、プラグイン、更新履歴を確認する
- 必要なら一時的に公開を止めて被害拡大を防ぐ
- 復旧方法が分からない場合はこの時点で相談する
この流れの中で大事なのは、「自分で完全駆除すること」を最初の目標にしないことです。
最初の目標は、状況を壊さず把握し、被害を止め、次に進める状態を作ることです。
特に事業サイトでは、問い合わせ停止や信頼低下の影響も出やすいため、見た目の修正より、危険な状態を止める判断を優先してください。
その上で、必要な復旧作業と再発防止を段階的に進める方が結果的に安全です。
WordPressが乗っ取られた時に相談前にまとめるとよい情報
WordPressが乗っ取られた時に外部へ相談するなら、最初に渡す情報を整理しておくと復旧判断が速くなります。
相談相手は、状況説明が曖昧だと、まず調査から始める必要があります。
一方で、発生時刻、症状、サーバー会社、ログイン状況、バックアップ有無が分かっていれば、初動の優先順位をつけやすくなります。
- いつから異常が出たか、直前に何をしたか
- ログインできるか、サーバー管理画面は使えるか
- 別サイトへのリダイレクトや検索結果汚染があるか
- 自動バックアップの有無と取得日時
- 使っているセキュリティプラグインやCDNの有無
この情報があると、「まずサイトを止めるべきか」「バックアップ比較から始めるか」「マルウェア駆除が必要か」を切り分けやすくなります。
やり取りの往復も減るため、結果的に復旧までの時間短縮にもつながります。
WordPressが乗っ取られた時に自分で解決できない時の判断基準
WordPressが乗っ取られた時に、自分で解決できないと判断して早めに相談した方がよいケースもあります。
無理に進めると、証拠消失、表示崩れ、顧客影響、再発リスクが大きくなるためです。
特に事業サイトや問い合わせフォーム付きサイトでは、停止時間が長いほど機会損失も大きくなります。
- ログインもサーバー管理画面も触れず状況確認ができない
- 顧客情報や会員情報があるサイトで不正アクセスの疑いがある
- 検索結果に大量の不正ページが出ている
- 復旧してもすぐ再改ざんされる
- 何が正規ファイルで何が不正ファイルか判断できない
相談時には、発生日時、症状、サーバー会社、WordPressのURL、直前の更新作業、利用中のセキュリティプラグインをまとめておくと話が早く進みます。
慌てて長文を書く必要はなく、箇条書きで十分です。
WordPressが乗っ取られた時によくある質問
WordPressが乗っ取られた状態が自分で解決できない時は

ホームページの乗っ取り・マルウェア感染・不正アクセスでお困りなら、
クイックレスキューが解決します。
- ホームページが乗っ取られた・改ざんされた
- 管理画面にログインできなくなった
- 変なサイトにリダイレクトされている
- Googleに危険なサイトと表示されている
- 自分で復旧しようとしたが直らない
- WordPressを復旧・修正したい
- 万一復旧できない場合やマルウェア駆除できない場合は全額返金保証で安心
- 90日間再感染保証・動作保証で安心
- 初期費用・調査費用0円で安心
