Webサイト改ざんされたら最初にやること【WordPress被害確認から復旧・再発防止まで】

Webサイト改ざん被害からの復旧と再発防止を表すアイキャッチ画像。改ざんされた画面を清掃し、盾と鍵でサイトを保護するイラスト。

「サイトにアクセスしたら見覚えのないページに書き換えられていた」「身に覚えのない外国語のページが大量に増えている」「Googleに『このサイトは危険です』と表示されている」——そんな状況に突然降りいって、頭が真っ白になっていませんか?

Webサイトの改ざんは、WordPressの脆弱性や弱いパスワードを悪用したサイバー攻撃によって発生します。被害を受けたとき、何をどの順番でやればいいかを知らないと、対処が遅れて被害がどんどん広がってしまいます。

この記事では、Webサイトが改ざんされた直後にやるべき緊急対処から、完全復旧・再発防止まで、順番を追ってわかりやすく解説します。

よこやま良平

WordPressの復旧を多数手がけてきたよこやま良平です。わたしの現場経験をもとに、改ざん確認から完全復旧・再発防止まで丁寍に解説します。

この記事でわかること
  • Webサイト改ざんの主なパターンと見分け方
  • 発覚直後にやるべき緊急対処5ステップ
  • 改ざんの原因を特定する方法
  • マルウェア・バックドアの完全駆除手順
  • Googleブラックリストの解除申請手順
  • 復旧後に必ずやるべき再発防止策
目次

Webサイト改ざんの主なパターンを確認する

「改ざん」と一口に言っても、その内容は攻撃者の目的によって異なります。まず自分のサイトがどのパターンの被害を受けているかを確認しましょう。

Webサイト改ざんの主なパターン
  • トップページの書き換え:サイト全体が別のページ(政治的メッセージ・宣教的内容・ハッカー名義のデフェイス画面など)に置き換えられる
  • スパムページの大量生成:身に覚えのない外国語のページ(薬・ブランド品・ギャンブルなど)が大量に追加される
  • 悪意あるリダイレクト:訪問者を別のサイト(詐欺サイト・マルウェア配布サイトなど)に自動転送するコードが埋め込まれる
  • マルウェアの埋め込み:サイトを訪問したユーザーのデバイスに感染するJavaScriptやiframeが挿入される
  • バックドアの設置:攻撃者がいつでも再侵入できる隠しファイルが設置される(見た目上はサイトが正常に見えることが多い)
  • SEOスパム(日本語偉装):日本語キーワードを含む不正なページが大量生成され、検索結果を汚染する
WebサイトのトップページがHacked by attackerのような改ざん画面に書き換えられている説明用スクリーンショット。
改ざんされたトップページの例
Google検索結果でこのサイトは危険ですという赤い警告が表示されている説明用スクリーンショット。
Google検索結果の危険サイト警告例
改ざんに気づくきっかけ(こんなサインがあったら要注意)
  • Googleサーチコンソールに「セキュリティの問題」の警告メールが届いた
  • サーバー会社から「マルウェア検出」「不正ファイル」の通知が来た
  • ユーザーや知人から「あなたのサイトが変になっている」と連絡が来た
  • Googleアナリティクスのアクセス数が急激に増えた・または急減した
  • ブラウザでサイトを開いたら警告画面が表示された
  • サイトにアクセスすると別のサイトに飛ばされる

改ざん発覚直後の緊急対処5ステップ

改ざんが発覚したら、以下の順番で対処します。焦らず、一つずつ進めてください。

ステップ1:サイトをオフライン化・メンテナンス状態にする

まず、改ざんされたサイトを訪問者に見せ続けることを止めます。感染したサイトにアクセスした訪問者のデバイスにマルウェアが感染する可能性があるため、できるだけ早くオフライン化またはアクセス制限を行ってください。

オフライン化・アクセス制限の方法
  • 方法①:レンタルサーバーのコントロールパネルからドメインへのアクセスを一時停止する
  • 方法②:FTPで.htaccessを編集し、全アクセスに503エラーを返すよう設定する
  • 方法③:レンタルサーバーのサポートに連絡してサイトを一時停止してもらう

ステップ2:すべてのパスワードを変更する

攻撃者がパスワードを取得・保持している可能性があります。以下のすべてのパスワードを今すぐ変更してください。変更の順番は、FTPとデータベースを最優先にします。

今すぐ変更すべきパスワード一覧
  • FTP・SFTPのパスワード(最優先)
  • データベース(MySQL)のパスワード(最優先)
  • WordPress管理者アカウントのパスワード(全ユーザー)
  • レンタルサーバーのコントロールパネルのパスワード
  • ドメイン管理会社のパスワード
  • サイトに関連するメールアカウントのパスワード

パスワードは16文字以上の英数字・記号の組み合わせで設定してください。複数のサービスで同じパスワードを使い回すのは絶対に避けましょう。

ステップ3:サーバー会社に連絡してバックアップを保全する

多くのレンタルサーバーは、マルウェア感染・改ざんのサポートを提供しています。早めに連絡することで、バックアップの保全・アクセスログの提供といった支援を受けられる場合があります。

サーバー会社への連絡でお願いすること
  • Webサイトが改ざん被害を受けたことを報告する
  • 改ざんが発生する前のバックアップデータの保全をお願いする
  • Webサーバーのアクセスログの取得をお願いする(攻撃の経路特定に役立つ)
  • サイトの一時停止・アクセス制限のサポートを依頼する

ステップ4:身に覚えのない管理者ユーザーを削除する

WordPress管理画面にログインできる場合は、ユーザー一覧を確認して不審なユーザーを削除します。攻撃者が後から再侵入するために管理者アカウントを追加していることがよくあります。

不審なユーザーの確認・削除手順
  1. WordPress管理画面 →「ユーザー」→「ユーザー一覧」を開く
  2. 見覚えのないユーザー名・メールアドレスのユーザーがいないか確認する
  3. 不審なユーザーにチェックを入れ、「削除」を選択する
  4. 既存の正規ユーザーのパスワードもこのタイミングで全員変更する
WordPressユーザー一覧に見覚えのないadministrator権限のユーザーが表示されている説明用スクリーンショット。
見覚えのない管理者ユーザーが追加された例

ステップ5:バックアップの状況を確認する

改ざん前のバックアップがあれば、それを使って復元できる可能性があります。以下の場所にバックアップが保存されていないか確認してください。

バックアップの確認場所
  • UpdraftPlus・BackWPupなどのバックアッププラグインの保存先(Google ドライブ・Dropboxなど)
  • レンタルサーバーの自動バックアップ機能(エックスサーバー・さくらサーバーなど多くのサーバーで提供)
  • 手動でダウンロードしたバックアップファイル(PC・外付けHDDなど)
重要:バックアップを復元する前に日時を必ず確認する

バックアップが改ざん後に取得されたものである場合、そのまま復元すると改ざんされたファイルも一緒に戻ってしまいます。バックアップの取得日時と、最初に异変に気づいた日時を比較して、改ざん前のバックアップを使うようにしてください。

改ざんの被害範囲を調査する

緊急対処が完了したら、次は被害の全体像を把握します。改ざんの範囲を正確に把握することが、正しい復旧方法の選択につながります。

Googleサーチコンソールでセキュリティの問題を確認する

Googleサーチコンソールには、Googleが検出したセキュリティの問題が記録されています。どのページが改ざんされているかの手がかりが得られます。

サーチコンソールでの確認手順
  1. Googleサーチコンソール(search.google.com/search-console)にログインする
  2. 左メニューの「セキュリティとSEO」→「セキュリティの問題」を開く
  3. 検出された問題の種類(ハッキングされたコンテンツ・マルウェアなど)と影響を受けたURLを確認する
Google Search Consoleのセキュリティの問題でハッキングされたコンテンツと改ざんURLが表示されている説明用スクリーンショット。
Google Search Consoleのセキュリティ問題画面

FTPで不審なファイルを確認する

FTPクライアント(FileZillaなど)でサーバーに接続し、不審なファイルがないかを確認します。特に以下の場所を重点的にチェックしてください。

不審なファイルが見つかりやすい場所
  • wp-content/uploadsフォルダ:PHPファイルが置かれていたら要注意(通常は画像ファイルのみ)
  • wp-content/themesフォルダ:使っていないテーマや見覚えのないPHPファイルがないか確認
  • wp-content/pluginsフォルダ:インストールしていないプラグインや見覚えのないフォルダがないか確認
  • WordPressルートフォルダ:wp-config.php以外の見覚えのないPHPファイルがないか確認
  • 更新日時の確認:改ざんが発覚した日の前後に更新日時が変わっているファイルを探す
FTPクライアントでwp-content/uploadsフォルダ内の不審なPHPファイルを確認している説明用スクリーンショット。
uploadsフォルダ内の不審なPHPファイル確認画面

アクセスログで攻撃の経路を確認する

サーバーのアクセスログ(access_log)を確認することで、どのURLから・どのIPアドレスが・どんなリクエストを送ってきたかがわかります。改ざんが発生した時刻前後のログを重点的に確認してください。

アクセスログはレンタルサーバーのコントロールパネルまたはFTPで取得できます。エックスサーバーの場合は「ログ」→「Apacheアクセスログ」から確認できます。

マルウェア・バックドアを完全に駆除する

被害範囲の確認が終わったら、マルウェアとバックドアを完全に駆除します。バックドアを残したまま復旧しても、すぐに再感染してしまいます。

方法1:クリーンなバックアップから復元する(最も確実)

改ざん前のクリーンなバックアップが確認できた場合、バックアップから復元するのが最も確実で速い方法です。

バックアップ復元の手順
  1. 改ざん前の日時のバックアップを特定する
  2. 現在の改ざんされたサイトのデータを別の場所に保存する(調査・証拠保全のため)
  3. バックアップからWordPressファイルとデータベースを復元する
  4. 復元後、すべてのパスワードを変更する
  5. WordPressコア・プラグイン・テーマをすべて最新版に更新する

方法2:Wordfenceでマルウェアスキャンを実行する

バックアップがない・または補完的な確認として、Wordfenceのマルウェアスキャンを使います。WordPressのコアファイルの改ざん・不審なコードの注入を検出して修復できます。

Wordfenceスキャンの手順
  1. 「Wordfence Security」プラグインをインストール・有効化する
  2. 「Wordfence」→「Scan(スキャン)」→「Start New Scan」をクリックする
  3. スキャン完了後、「Results(結果)」に表示された問題を確認する
  4. 「Repair(修復)」ボタンでコアファイルを修復し、不審なファイルを削除する
Wordfenceのスキャン画面で改ざんファイルやマルウェア検出を確認するスクリーンショット。
Wordfenceスキャン結果画面

方法3:WordPressのクリーンインストール

バックアップがない・感染範囲が広い場合は、WordPressをクリーンインストールして、記事データ(データベース)だけを引き継ぐ方法が確実です。

クリーンインストールの流れ
  1. FTPでサーバー上の感染したWordPressファイルをすべて削除する(データベースは保持)
  2. 最新版のWordPressを公式サイト(wordpress.org)からダウンロードして新規インストールする
  3. wp-config.phpに既存のデータベース接続情報を設定する
  4. 管理画面にログインして、プラグイン・テーマを最新版で再インストールする
  5. phpMyAdminでデータベース内の不審なコードを検索・削除する

データベース内にも改ざんコード(不審なJavaScript・リダイレクトコードなど)が埋め込まれている場合があります。phpMyAdminで「eval(」「base64_decode」「<script」などの文字列を検索して確認しましょう。

データベース内の改ざんコードを除去する

ファイルのクリーンアップと並行して、データベース内にも不正なコードが仕込まれていないか確認します。特にSEOスパム型の改ざんでは、wp_postsテーブルやwp_optionsテーブルに悪意あるリンク・コードが挿入されていることがあります。

phpMyAdminでデータベースを検索する手順
  1. レンタルサーバーのコントロールパネルから「phpMyAdmin」にアクセスする
  2. WordPressのデータベースを選択し、「検索」タブを開く
  3. 検索ワード(「eval(base64」「<script src=」「iframe」など)を入力してテーブルを検索する
  4. 不審なコードが含まれる行を見つけたら、内容を確認して修正または削除する
phpMyAdminのデータベース検索で不審なscriptやbase64_decodeを含む行が検出されている説明用スクリーンショット。
phpMyAdminで不審なコードを検索した例

GoogleブラックリストとSafe Browsingの解除申請

Googleの検索結果に「このサイトは危険です」と表示されている場合、Googleのセーフブラウジング(Safe Browsing)に登録されています。マルウェアを完全に駆除した後、Googleに審査を申請して警告を解除してもらう必要があります。

ブラックリスト解除申請の手順
  1. マルウェアの完全駆除・改ざんコードの除去が完了していることを確認する
  2. Googleサーチコンソール(search.google.com/search-console)にログインする
  3. 左メニューの「セキュリティの問題」を開く
  4. 「これらの問題を修正しました」にチェックを入れて「審査をリクエスト」をクリックする
  5. Googleが審査を行い、問題なければ警告が解除される(通常数日~1週間程度)
Google Search Consoleのセキュリティの問題で審査をリクエストする説明用スクリーンショット。
Google Search Consoleの審査リクエスト画面
審査申請前に必ず確認すること

改ざんコード・マルウェアが残ったまま審査をリクエストすると、Googleの審査で再度問題が検出されます。この場合、次の審査リクエストまで30日の待機期間が発生することがあります。Wordfenceのスキャンで「問題なし」が確認できてから申請してください。

復旧後の再発防止策

改ざんから復旧した後も、同じ弱点を放置すると再び攻撃を受けます。以下の再発防止策を必ず実施してください。

WordPress・プラグイン・テーマをすべて最新版にする

古いバージョンには既知の脆弱性が存在します。管理画面の「更新」から、コア・プラグイン・テーマをすべて最新版にアップデートしてください。また、更新が止まっているプラグイン(最終更新かヽ年以上経過)は代替品への移行を検討してください。

WordPress管理画面の更新ページでコア、プラグイン、テーマの更新状況を確認しているスクリーンショット。
WordPress更新画面

使っていないプラグイン・テーマを完全削除する

無効化しているだけではファイルがサーバーに残り、脆弱性が放置されます。使っていないプラグインとテーマは「削除」してください。

セキュリティプラグインを導入する

復旧後は、セキュリティプラグインを導入して継続的な保護を行いましょう。

復旧後に導入したいセキュリティプラグイン
  • ログイン保護・URLの変更:SiteGuardまたはクイックレスキュー365
  • マルウェアスキャン・ファイアウォール:Wordfence Security
  • 脆弱性監視:Patchstack(脆弱なプラグインを自動検出・通知)
  • 定期バックアップ:UpdraftPlus(次の感染に備えてサーバー外保存を設定)

ログイン保護を強化する

改ざんの多くはログイン情報の窃取やブルートフォース攻撃が原因です。以下の3つを必ず設定してください。

ログイン保護3点セット
  1. ログインページURLの変更:SiteGuardで/wp-login.phpを別のURLに変更する
  2. ログイン失敗回数の制限:ブルートフォース攻撃をロックアウトで防ぐ
  3. 二段階認証の設定:パスワードが漏洎しても不正ログインを防ぐ最強の対策

定期バックアップを必ず設定する

再び改ざんされた際に素早く復旧できるよう、定期バックアップの設定は必須です。UpdraftPlusを使って、週1回以上のバックアップをサーバー外(Google ドライブ・Dropbox)に保存してください。バックアップがあれば、次回の被害からの復旧時間を大幅に短縮できます。

改ざんされたことを訪問者や顧客に通知する必要がありますか?

顧客の個人情報(氏名・メールアドレス・クレジットカード情報など)が漏洎した可能性がある場合は、個人情報保護法に基づく本人への通知と個人情報保護委員会への報告が必要です。ECサイトや会員制サービスを運営している場合は、法律の専門家への相談を強くおすすめします。個人情報を扱っていないブログ・情報発信サイトの場合、通知義務は発生しないことが多いです。

改ざんが確認できないのに検索エンジンで警告が出ます。なぜですか?

改ざんの中には、管理者(サイトオーナー)のアクセスには正常なページを表示し、一般の訪問者や検索エンジンのクローラーにだけ改ざんコンテンツを見せる「クローキング」という手法があります。自分でサイトを見ても改ざんが分からなくても、Googleは不正なコードを検出していることがあります。Wordfenceのスキャンやサーチコンソールの「セキュリティの問題」で確認してください。

バックアップがない場合でも復旧できますか?

バックアップがない場合でも復旧は可能ですが、時間と技術的な知識が必要です。WordPressのクリーンインストール・データベースの不審コード除去・プラグインとテーマの再設定などを手動で行う必要があります。自力での対応が難しい場合は、WordPress復旧の専門サービスへの依頼をご検討ください。

Wordfenceで「問題なし」と出たのに再感染しました。なぜですか?

バックドアが残っていると、マルウェアを削除しても攻撃者が再侵入して再感染させることがあります。Wordfenceで検出されなかったバックドアが別の場所に残っている可能性があります。再感染が繰り返される場合は、WordPressのクリーンインストールを実施するか、専門の復旧サービスに依頼することをおすすめします。また、脆弱なプラグインや弱いパスワードが根本的な原因になっていることも多いため、セキュリティ設定全体を見直してください。

Webサイト改ざん対処まとめ

Webサイトが改ざんされた場合、初動対応のスピードと正確さが被害の拡大を防ぐカギです。パニックにならず、順番に対処してください。

改ざん対処チェックリスト
  1. サイトをオフライン化・アクセス制限してさらなる被害を止める
  2. FTP・データベース・WordPress・サーバーのパスワードを全変更する
  3. サーバー会社に連絡してバックアップを保全する
  4. 不審な管理者ユーザーを削除する
  5. バックアップの日時を確認し、復元可能かチェックする
  6. サーチコンソール・FTP・アクセスログで被害範囲を調査する
  7. クリーンなバックアップから復元する、またはWordfenceでスキャン・駆除する
  8. データベース内の不審なコードをphpMyAdminで除去する
  9. Googleサーチコンソールで審査をリクエストする
  10. プラグイン・テーマ・WordPressを最新版にしてセキュリティプラグインを導入する

自分での対処が難しいと感じたら、無理をせずに専門サービスへの依頼を検討してください。対処が遅れるほど被害が拡大します。

ホームページの乗っ取りが自分で解決できない時は

WordPress修復マルウェア駆除トラブル専門「クイックレスキュー」

ホームページの乗っ取り・マルウェア感染・不正アクセスでお困りなら、
クイックレスキューが解決します。

こんなお悩みはありませんか?
  • ホームページが乗っ取られた・改ざんされた
  • 管理画面にログインできなくなった
  • 変なサイトにリダイレクトされている
  • Googleに危険なサイトと表示されている
  • 自分で復旧しようとしたが直らない
  • WordPressを復旧・修正したい

こんなお悩みなら最短30分ですぐに解決します!
いまなら期間限定で3つの安心保証

3つの安心保証
  • 万一復旧できない場合やマルウェア駆除できない場合は全額返金保証で安心
  • 90日間再感染保証・動作保証で安心
  • 初期費用・調査費用0円で安心

この記事を書いた専門家

こんにちは!20年以上ITエンジニアとして活動してきた
よこやま良平です。

Wordpress復旧やサイト修復、オンライン講座では
776件以上のレビューを頂いており

「すぐに復旧してくれる!」
「当日行ってくれて助かった!」など

評価は4.9/5.0と非常に高く好評です。

またWordPress、SEO、Officeなど30冊以上の書籍を出版しており、
売上ランキング1位を連続で獲得致しました。

その他これまでに3000以上のサービス・システム・サイトを作成。

多くの方の「できない」や「悩み」を解決してきました。
その観点からわかりやすく解説しています。

目次