「サイトにアクセスしたら見覚えのないページに書き換えられていた」「身に覚えのない外国語のページが大量に増えている」「Googleに『このサイトは危険です』と表示されている」——そんな状況に突然降りいって、頭が真っ白になっていませんか?
Webサイトの改ざんは、WordPressの脆弱性や弱いパスワードを悪用したサイバー攻撃によって発生します。被害を受けたとき、何をどの順番でやればいいかを知らないと、対処が遅れて被害がどんどん広がってしまいます。
この記事では、Webサイトが改ざんされた直後にやるべき緊急対処から、完全復旧・再発防止まで、順番を追ってわかりやすく解説します。
WordPressの復旧を多数手がけてきたよこやま良平です。わたしの現場経験をもとに、改ざん確認から完全復旧・再発防止まで丁寍に解説します。
- Webサイト改ざんの主なパターンと見分け方
- 発覚直後にやるべき緊急対処5ステップ
- 改ざんの原因を特定する方法
- マルウェア・バックドアの完全駆除手順
- Googleブラックリストの解除申請手順
- 復旧後に必ずやるべき再発防止策
Webサイト改ざんの主なパターンを確認する
「改ざん」と一口に言っても、その内容は攻撃者の目的によって異なります。まず自分のサイトがどのパターンの被害を受けているかを確認しましょう。
- トップページの書き換え:サイト全体が別のページ(政治的メッセージ・宣教的内容・ハッカー名義のデフェイス画面など)に置き換えられる
- スパムページの大量生成:身に覚えのない外国語のページ(薬・ブランド品・ギャンブルなど)が大量に追加される
- 悪意あるリダイレクト:訪問者を別のサイト(詐欺サイト・マルウェア配布サイトなど)に自動転送するコードが埋め込まれる
- マルウェアの埋め込み:サイトを訪問したユーザーのデバイスに感染するJavaScriptやiframeが挿入される
- バックドアの設置:攻撃者がいつでも再侵入できる隠しファイルが設置される(見た目上はサイトが正常に見えることが多い)
- SEOスパム(日本語偉装):日本語キーワードを含む不正なページが大量生成され、検索結果を汚染する


- Googleサーチコンソールに「セキュリティの問題」の警告メールが届いた
- サーバー会社から「マルウェア検出」「不正ファイル」の通知が来た
- ユーザーや知人から「あなたのサイトが変になっている」と連絡が来た
- Googleアナリティクスのアクセス数が急激に増えた・または急減した
- ブラウザでサイトを開いたら警告画面が表示された
- サイトにアクセスすると別のサイトに飛ばされる
改ざん発覚直後の緊急対処5ステップ
改ざんが発覚したら、以下の順番で対処します。焦らず、一つずつ進めてください。
ステップ1:サイトをオフライン化・メンテナンス状態にする
まず、改ざんされたサイトを訪問者に見せ続けることを止めます。感染したサイトにアクセスした訪問者のデバイスにマルウェアが感染する可能性があるため、できるだけ早くオフライン化またはアクセス制限を行ってください。
- 方法①:レンタルサーバーのコントロールパネルからドメインへのアクセスを一時停止する
- 方法②:FTPで.htaccessを編集し、全アクセスに503エラーを返すよう設定する
- 方法③:レンタルサーバーのサポートに連絡してサイトを一時停止してもらう
ステップ2:すべてのパスワードを変更する
攻撃者がパスワードを取得・保持している可能性があります。以下のすべてのパスワードを今すぐ変更してください。変更の順番は、FTPとデータベースを最優先にします。
- FTP・SFTPのパスワード(最優先)
- データベース(MySQL)のパスワード(最優先)
- WordPress管理者アカウントのパスワード(全ユーザー)
- レンタルサーバーのコントロールパネルのパスワード
- ドメイン管理会社のパスワード
- サイトに関連するメールアカウントのパスワード
ステップ3:サーバー会社に連絡してバックアップを保全する
多くのレンタルサーバーは、マルウェア感染・改ざんのサポートを提供しています。早めに連絡することで、バックアップの保全・アクセスログの提供といった支援を受けられる場合があります。
- Webサイトが改ざん被害を受けたことを報告する
- 改ざんが発生する前のバックアップデータの保全をお願いする
- Webサーバーのアクセスログの取得をお願いする(攻撃の経路特定に役立つ)
- サイトの一時停止・アクセス制限のサポートを依頼する
ステップ4:身に覚えのない管理者ユーザーを削除する
WordPress管理画面にログインできる場合は、ユーザー一覧を確認して不審なユーザーを削除します。攻撃者が後から再侵入するために管理者アカウントを追加していることがよくあります。
- WordPress管理画面 →「ユーザー」→「ユーザー一覧」を開く
- 見覚えのないユーザー名・メールアドレスのユーザーがいないか確認する
- 不審なユーザーにチェックを入れ、「削除」を選択する
- 既存の正規ユーザーのパスワードもこのタイミングで全員変更する

ステップ5:バックアップの状況を確認する
改ざん前のバックアップがあれば、それを使って復元できる可能性があります。以下の場所にバックアップが保存されていないか確認してください。
- UpdraftPlus・BackWPupなどのバックアッププラグインの保存先(Google ドライブ・Dropboxなど)
- レンタルサーバーの自動バックアップ機能(エックスサーバー・さくらサーバーなど多くのサーバーで提供)
- 手動でダウンロードしたバックアップファイル(PC・外付けHDDなど)
バックアップが改ざん後に取得されたものである場合、そのまま復元すると改ざんされたファイルも一緒に戻ってしまいます。バックアップの取得日時と、最初に异変に気づいた日時を比較して、改ざん前のバックアップを使うようにしてください。
改ざんの被害範囲を調査する
緊急対処が完了したら、次は被害の全体像を把握します。改ざんの範囲を正確に把握することが、正しい復旧方法の選択につながります。
Googleサーチコンソールでセキュリティの問題を確認する
Googleサーチコンソールには、Googleが検出したセキュリティの問題が記録されています。どのページが改ざんされているかの手がかりが得られます。
- Googleサーチコンソール(search.google.com/search-console)にログインする
- 左メニューの「セキュリティとSEO」→「セキュリティの問題」を開く
- 検出された問題の種類(ハッキングされたコンテンツ・マルウェアなど)と影響を受けたURLを確認する

FTPで不審なファイルを確認する
FTPクライアント(FileZillaなど)でサーバーに接続し、不審なファイルがないかを確認します。特に以下の場所を重点的にチェックしてください。
- wp-content/uploadsフォルダ:PHPファイルが置かれていたら要注意(通常は画像ファイルのみ)
- wp-content/themesフォルダ:使っていないテーマや見覚えのないPHPファイルがないか確認
- wp-content/pluginsフォルダ:インストールしていないプラグインや見覚えのないフォルダがないか確認
- WordPressルートフォルダ:wp-config.php以外の見覚えのないPHPファイルがないか確認
- 更新日時の確認:改ざんが発覚した日の前後に更新日時が変わっているファイルを探す

アクセスログで攻撃の経路を確認する
サーバーのアクセスログ(access_log)を確認することで、どのURLから・どのIPアドレスが・どんなリクエストを送ってきたかがわかります。改ざんが発生した時刻前後のログを重点的に確認してください。
マルウェア・バックドアを完全に駆除する
被害範囲の確認が終わったら、マルウェアとバックドアを完全に駆除します。バックドアを残したまま復旧しても、すぐに再感染してしまいます。
方法1:クリーンなバックアップから復元する(最も確実)
改ざん前のクリーンなバックアップが確認できた場合、バックアップから復元するのが最も確実で速い方法です。
- 改ざん前の日時のバックアップを特定する
- 現在の改ざんされたサイトのデータを別の場所に保存する(調査・証拠保全のため)
- バックアップからWordPressファイルとデータベースを復元する
- 復元後、すべてのパスワードを変更する
- WordPressコア・プラグイン・テーマをすべて最新版に更新する
方法2:Wordfenceでマルウェアスキャンを実行する
バックアップがない・または補完的な確認として、Wordfenceのマルウェアスキャンを使います。WordPressのコアファイルの改ざん・不審なコードの注入を検出して修復できます。
- 「Wordfence Security」プラグインをインストール・有効化する
- 「Wordfence」→「Scan(スキャン)」→「Start New Scan」をクリックする
- スキャン完了後、「Results(結果)」に表示された問題を確認する
- 「Repair(修復)」ボタンでコアファイルを修復し、不審なファイルを削除する

方法3:WordPressのクリーンインストール
バックアップがない・感染範囲が広い場合は、WordPressをクリーンインストールして、記事データ(データベース)だけを引き継ぐ方法が確実です。
- FTPでサーバー上の感染したWordPressファイルをすべて削除する(データベースは保持)
- 最新版のWordPressを公式サイト(wordpress.org)からダウンロードして新規インストールする
- wp-config.phpに既存のデータベース接続情報を設定する
- 管理画面にログインして、プラグイン・テーマを最新版で再インストールする
- phpMyAdminでデータベース内の不審なコードを検索・削除する
データベース内の改ざんコードを除去する
ファイルのクリーンアップと並行して、データベース内にも不正なコードが仕込まれていないか確認します。特にSEOスパム型の改ざんでは、wp_postsテーブルやwp_optionsテーブルに悪意あるリンク・コードが挿入されていることがあります。
- レンタルサーバーのコントロールパネルから「phpMyAdmin」にアクセスする
- WordPressのデータベースを選択し、「検索」タブを開く
- 検索ワード(「eval(base64」「<script src=」「iframe」など)を入力してテーブルを検索する
- 不審なコードが含まれる行を見つけたら、内容を確認して修正または削除する

GoogleブラックリストとSafe Browsingの解除申請
Googleの検索結果に「このサイトは危険です」と表示されている場合、Googleのセーフブラウジング(Safe Browsing)に登録されています。マルウェアを完全に駆除した後、Googleに審査を申請して警告を解除してもらう必要があります。
- マルウェアの完全駆除・改ざんコードの除去が完了していることを確認する
- Googleサーチコンソール(search.google.com/search-console)にログインする
- 左メニューの「セキュリティの問題」を開く
- 「これらの問題を修正しました」にチェックを入れて「審査をリクエスト」をクリックする
- Googleが審査を行い、問題なければ警告が解除される(通常数日~1週間程度)

改ざんコード・マルウェアが残ったまま審査をリクエストすると、Googleの審査で再度問題が検出されます。この場合、次の審査リクエストまで30日の待機期間が発生することがあります。Wordfenceのスキャンで「問題なし」が確認できてから申請してください。
復旧後の再発防止策
改ざんから復旧した後も、同じ弱点を放置すると再び攻撃を受けます。以下の再発防止策を必ず実施してください。
WordPress・プラグイン・テーマをすべて最新版にする
古いバージョンには既知の脆弱性が存在します。管理画面の「更新」から、コア・プラグイン・テーマをすべて最新版にアップデートしてください。また、更新が止まっているプラグイン(最終更新かヽ年以上経過)は代替品への移行を検討してください。

使っていないプラグイン・テーマを完全削除する
無効化しているだけではファイルがサーバーに残り、脆弱性が放置されます。使っていないプラグインとテーマは「削除」してください。
セキュリティプラグインを導入する
復旧後は、セキュリティプラグインを導入して継続的な保護を行いましょう。
- ログイン保護・URLの変更:SiteGuardまたはクイックレスキュー365
- マルウェアスキャン・ファイアウォール:Wordfence Security
- 脆弱性監視:Patchstack(脆弱なプラグインを自動検出・通知)
- 定期バックアップ:UpdraftPlus(次の感染に備えてサーバー外保存を設定)
ログイン保護を強化する
改ざんの多くはログイン情報の窃取やブルートフォース攻撃が原因です。以下の3つを必ず設定してください。
- ログインページURLの変更:SiteGuardで/wp-login.phpを別のURLに変更する
- ログイン失敗回数の制限:ブルートフォース攻撃をロックアウトで防ぐ
- 二段階認証の設定:パスワードが漏洎しても不正ログインを防ぐ最強の対策
定期バックアップを必ず設定する
再び改ざんされた際に素早く復旧できるよう、定期バックアップの設定は必須です。UpdraftPlusを使って、週1回以上のバックアップをサーバー外(Google ドライブ・Dropbox)に保存してください。バックアップがあれば、次回の被害からの復旧時間を大幅に短縮できます。
Webサイト改ざん対処まとめ
Webサイトが改ざんされた場合、初動対応のスピードと正確さが被害の拡大を防ぐカギです。パニックにならず、順番に対処してください。
- サイトをオフライン化・アクセス制限してさらなる被害を止める
- FTP・データベース・WordPress・サーバーのパスワードを全変更する
- サーバー会社に連絡してバックアップを保全する
- 不審な管理者ユーザーを削除する
- バックアップの日時を確認し、復元可能かチェックする
- サーチコンソール・FTP・アクセスログで被害範囲を調査する
- クリーンなバックアップから復元する、またはWordfenceでスキャン・駆除する
- データベース内の不審なコードをphpMyAdminで除去する
- Googleサーチコンソールで審査をリクエストする
- プラグイン・テーマ・WordPressを最新版にしてセキュリティプラグインを導入する
自分での対処が難しいと感じたら、無理をせずに専門サービスへの依頼を検討してください。対処が遅れるほど被害が拡大します。
ホームページの乗っ取りが自分で解決できない時は

ホームページの乗っ取り・マルウェア感染・不正アクセスでお困りなら、
クイックレスキューが解決します。
- ホームページが乗っ取られた・改ざんされた
- 管理画面にログインできなくなった
- 変なサイトにリダイレクトされている
- Googleに危険なサイトと表示されている
- 自分で復旧しようとしたが直らない
- WordPressを復旧・修正したい
- 万一復旧できない場合やマルウェア駆除できない場合は全額返金保証で安心
- 90日間再感染保証・動作保証で安心
- 初期費用・調査費用0円で安心
