「気づいたらホームページが別のサイトになっている」「管理画面にログインできなくなった」「Googleに危険なサイトと表示されている」——そんな状況に突然降りいって、パニックになっていませんか?
ホームページの乗っ取りは、WordPressの脆弱性や弱いパスワードを狙ったサイバー攻撃によって発生します。被害を受けたときに何をすべきかを知らないと、対処が遅れて被害がさらに拡大してしまいます。
この記事では、ホームページが乗っ取られた直後にやるべき緊急対処から、完全復旧・再発防止まで、順番に解説します。
WordPressの復旧を多数手がけてきたよこやま良平です。わたしの現場経験をもとに、感染確認から完全復旧・再発防止まで丁寍に解説します。
- ホームページが乗っ取られたサインの見分け方
- 発覚直後にやるべき緊急対処5ステップ
- 管理画面にログインできない場合の対処法
- マルウェア・バックドアの検出と完全駆除の方法
- Googleブラックリストの解除申請手順
- 復旧後に必ずやるべき再発防止策
ホームページ乗っ取りのサインを確認する
まず、本当に乗っ取られているのかを確認しましょう。以下のサインが複数当てはまる場合は、早急な対応が必要です。
- サイトにアクセスすると、知らないサイトにリダイレクトされる
- 管理画面(wp-admin)にログインできない
- Googleの検索結果に「このサイトは危険です」と表示される
- Googleサーチコンソールに「セキュリティの問題」の警告が届いた
- 身に覚えのない管理者ユーザーが追加されている
- サイトのコンテンツが書き換えられている・見汎れないページが増えている
- サイトのアクセス数が急激に落ちた
- サーバー会社や検索エンジンから「マルウェア検出」の通知が届いた


乗っ取り発覚直後の緊急対処5ステップ
乗っ取りが発覚したら、以下の順番で対処します。冷静に、ひとつずつ進めてください。
ステップ1:サイトをメンテナンス状態にする(オフライン化)
まず、改ざんされたサイトを訪問者に見せ続けることを止めます。感染したサイトにアクセスした訪問者のデバイスにマルウェアが感染する可能性があるため、できるだけ早くオフライン化またはメンテナンス状態にしてください。
- 方法①:サーバーのコントロールパネルからドメインのアクセスを一時停止する
- 方法②:FTPでWordPressのルートフォルダに「.htaccess」を使ってアクセス制限をかける
- 方法③:レンタルサーバーのサポートに連絡してサイトを一時停止してもらう

ステップ2:すべてのパスワードを変更する
攻撃者がパスワードを取得している可能性があります。以下のすべてのパスワードを今すぐ変更してください。
- WordPress管理者アカウントのパスワード(全ユーザー)
- FTP・SFTPのパスワード
- データベース(MySQL)のパスワード
- レンタルサーバーのコントロールパネルのパスワード
- ドメイン管理会社のパスワード
- サイトに関連するメールアカウントのパスワード
ステップ3:身に覚えのない管理者ユーザーを削除する
WordPress管理画面にログインできる場合は、ユーザー一覧を確認して、身に覚えのないユーザーを削除します。
- WordPress管理画面 →「ユーザー」→「ユーザー一覧」を開く
- 見覚えのないユーザー名・メールアドレスのユーザーがいないか確認する
- 不審なユーザーにチェックを入れ、「削除」を選択する
- 既存の正規ユーザーのパスワードもこのタイミングで全員変更する

ステップ4:サーバー会社・ホスティング会社に連絡する
多くのレンタルサーバー会社は、マルウェア感染・不正アクセスのサポートを行っています。早めに連絡することで、バックアップの保全・アクセスログの提供・セキュリティ診断などの支援を受けられる場合があります。
- マルウェア感染・不正アクセスが発生したことを報告する
- バックアップデータの保全をお願いする
- アクセスログの取得をお願いする(攻撃の経路特定に役立つ)
- サイトの一時停止・アクセス制限のサポートを依頼する
ステップ5:バックアップの状況を確認する
感染前のバックアップがあれば、それを使って復元できる可能性があります。以下の場所にバックアップが保存されていないか確認してください。
- UpdraftPlus・BackWPupなどのバックアップ用プラグイン
- レンタルサーバーの自動バックアップ機能(エックスサーバー・さくらサーバーなど多くのサーバーで提供)
- Google ドライブ・Dropboxなどのクラウドストレージ
バックアップが感染後に取得されたものである場合、そのまま復元すると感染したファイルも一緒に戻ってしまいます。バックアップを復元する前に、そのバックアップが感染前のものかどうかを確認してください。バックアップの日時と最初に异変に気づいた日時を比較しましょう。
管理画面にログインできない場合の対処法
攻撃者に管理者パスワードを変更されてしまい、WordPress管理画面にログインできなくなった場合の対処方法です。
方法1:メールでパスワードリセットを試みる
まず、ログイン画面の「パスワードをお忘れですか?」からパスワードリセットメールの送信を試みます。登録したメールアドレスが攻撃者に変更されていなければ、この方法でパスワードをリセットできます。

方法2:phpMyAdminでパスワードを直接変更する
メールリセットが使えない場合は、データベースを直接操作してパスワードを変更します。
- レンタルサーバーのコントロールパネルから「phpMyAdmin」にアクセスする
- WordPressのデータベースを選択する
- 「wp_users」テーブルをクリックする
- 管理者ユーザーの行の「編集」をクリックする
- 「user_pass」フィールドで「関数」を「MD5」に変更し、新しいパスワードを入力する
- 「実行」をクリックして保存する

方法3:WP-CLIでパスワードを変更する
サーバーにSSHでアクセスできる場合は、WP-CLIを使ってコマンドラインからパスワードを変更できます。
# ユーザー一覧を確認する
wp user list
# 管理者のパスワードを変更する(USER_IDを実際のIDに変更)
wp user update USER_ID --user_pass="新しいパスワード"マルウェア・バックドアの検出と完全駆除
管理画面に入れるようになったら、次はマルウェアとバックドアの検出・駆除を行います。バックドアとは、攻撃者がいつでも再侵入できるように仕掛けた「隠し扉」です。バックドアを残したまま復旧しても、すぐに再感染してしまいます。
方法1:Wordfenceでマルウェアスキャンを実行する
Wordfenceは無料版でも高精度のマルウェアスキャンができます。感染ファイルの検出と修正に役立ちます。
- 「Wordfence Security」プラグインをインストール・有効化する
- 「Wordfence」→「Scan(スキャン)」をクリックする
- 「Start New Scan(新規スキャンを開始)」をクリックする
- スキャン完了後、「Results(結果)」に表示された問題を確認する
- 「Repair(修復)」ボタンで修復できるファイルは修復し、「Delete All Deletable(削除可能なものをすべて削除)」で不審なファイルを削除する


方法2:バックアップからの復元(最も確実な方法)
感染前のクリーンなバックアップが確認できた場合は、バックアップから復元するのが最も確実な方法です。
- 感染前の日時のバックアップを特定する
- 現在の感染したサイトのデータを別の場所に保存する(調査のため)
- バックアップからWordPressファイルとデータベースを復元する
- 復元後、すべてのパスワードを変更する
- WordPressコア・プラグイン・テーマをすべて最新版に更新する
方法3:WordPressのクリーンインストール
バックアップがない・バックアップも感染している可能性がある場合は、WordPressをクリーンインストールして、記事データ(データベース)だけを移行する方法もあります。
- サーバー上の感染したWordPressファイルをすべて削除する(データベースは保持)
- 最新版のWordPressを公式サイトからダウンロードして新規インストールする
- wp-config.phpに既存のデータベース接続情報を設定する
- 管理画面にログインして、プラグイン・テーマを最新版で再インストールする
- データベース内の不審なコードをphpMyAdminで検索・削除する
GoogleブラックリストとSafe Browsingの解除申請
Googleの検索結果に「このサイトは危険です」と表示されている場合、Googleのセーフブラウジング(Safe Browsing)ブラックリストに登録されています。マルウェアを駆除した後、Googleに審査を申請する必要があります。
- マルウェアの完全駆除が完了していることを確認する
- Googleサーチコンソール(search.google.com/search-console)にログインする
- 左メニューの「セキュリティの問題」を開く
- 「これらの問題を修正しました」にチェックを入れて「審査をリクエスト」をクリックする
- Googleが審査を行い、問題なければ警告が解除される(通常数日~1週間程度)

マルウェアが残ったまま審査をリクエストすると、Googleの審査で再度マルウェアが検出されてしまいます。この場合、次の審査リクエストまで30日の待機期間が発生することがあります。Wordfenceのスキャンで「問題なし」が確認できてから申請しましょう。
復旧後の再発防止策
乗っ取りから復旧した後も、同じ弱点を放置すると再び攻撃を受けます。以下の再発防止策を必ず実施してください。
WordPressコア・プラグイン・テーマをすべて最新版にする
古いバージョンには既知の脆弱性が存在します。攻撃者はその脆弱性を利用してサイトに侵入します。WordPressの管理画面の「更新」から、コア・プラグイン・テーマをすべて最新版にアップデートしてください。

使っていないプラグイン・テーマを完全削除する
無効化しているだけでは脆弱性が残ります。使っていないプラグインとテーマは「削除」してください。特に更新が止まっているプラグイン(最終更新かヽ年以上経過)は脆弱性のリスクが高いため、代替プラグインへの移行を検討してください。
セキュリティプラグインを導入する
復旧後は、セキュリティプラグインを導入して継続的な保護を行いましょう。以下のプラグインの組み合わせがおすすめです。
- ログイン保護・URLの変更:SiteGuardまたはクイックレスキュー365
- マルウェアスキャン・ファイアウォール:Wordfence Security
- 脆弱性監視:Patchstack(脆弱なプラグインを自動検出・通知)
- 定期バックアップ:UpdraftPlus(感染前の状態に戻せる体制を作る)
二段階認証を設定する
パスワードが漏れても不正ログインを防ぐ最強の対策が二段階認証(2FA)です。Solid SecurityまたはWordfenceの無料版から設定できます。
定期バックアップを必ず設定する
再び感染した際に素早く復旧できるよう、定期バックアップの設定は必須です。UpdraftPlusを使って、週1回以上のバックアップをサーバー外(Google ドライブやDropbox)に保存してください。
ホームページ乗っ取り対処まとめ
ホームページが乗っ取られた場合、初動対応のスピードが被害の拡大を防ぐカギです。パニックにならず、順番に対処してください。
- サイトをオフライン化・メンテナンス状態にする
- すべてのパスワードを変更する
- 身に覚えのない管理者ユーザーを削除する
- サーバー会社に連絡してバックアップを保全する
- Wordfenceでマルウェアスキャン・駆除を行う
- Googleサーチコンソールで審査をリクエストする
- プラグイン・テーマ・WordPressをすべて最新版にする
- セキュリティプラグイン・二段階認証・定期バックアップを設定する
自分での対処が難しいと感じたら、無理をせずに専門サービスへの依頼を検討してください。対処が遅れるほど被害が拡大します。
ホームページの乗っ取りが自分で解決できない時は

ホームページの乗っ取り・マルウェア感染・不正アクセスでお困りなら、
クイックレスキューが解決します。
- ホームページが乗っ取られた・改ざんされた
- 管理画面にログインできなくなった
- 変なサイトにリダイレクトされている
- Googleに危険なサイトと表示されている
- 自分で復旧しようとしたが直らない
- WordPressを復旧・修正したい
- 万一復旧できない場合やマルウェア駆除できない場合は全額返金保証で安心
- 90日間再感染保証・動作保証で安心
- 初期費用・調査費用0円で安心
