ホームページが乗っ取られた時に最初にやること【WordPress緊急対処と完全復旧手順】

「気づいたらホームページが別のサイトになっている」「管理画面にログインできなくなった」「Googleに危険なサイトと表示されている」——そんな状況に突然降りいって、パニックになっていませんか?

ホームページの乗っ取りは、WordPressの脆弱性や弱いパスワードを狙ったサイバー攻撃によって発生します。被害を受けたときに何をすべきかを知らないと、対処が遅れて被害がさらに拡大してしまいます。

この記事では、ホームページが乗っ取られた直後にやるべき緊急対処から、完全復旧・再発防止まで、順番に解説します。

よこやま良平

WordPressの復旧を多数手がけてきたよこやま良平です。わたしの現場経験をもとに、感染確認から完全復旧・再発防止まで丁寍に解説します。

この記事でわかること
  • ホームページが乗っ取られたサインの見分け方
  • 発覚直後にやるべき緊急対処5ステップ
  • 管理画面にログインできない場合の対処法
  • マルウェア・バックドアの検出と完全駆除の方法
  • Googleブラックリストの解除申請手順
  • 復旧後に必ずやるべき再発防止策
目次

ホームページ乗っ取りのサインを確認する

まず、本当に乗っ取られているのかを確認しましょう。以下のサインが複数当てはまる場合は、早急な対応が必要です。

乗っ取り・不正アクセスの主なサイン
  • サイトにアクセスすると、知らないサイトにリダイレクトされる
  • 管理画面(wp-admin)にログインできない
  • Googleの検索結果に「このサイトは危険です」と表示される
  • Googleサーチコンソールに「セキュリティの問題」の警告が届いた
  • 身に覚えのない管理者ユーザーが追加されている
  • サイトのコンテンツが書き換えられている・見汎れないページが増えている
  • サイトのアクセス数が急激に落ちた
  • サーバー会社や検索エンジンから「マルウェア検出」の通知が届いた
Google検索結果でこのサイトは危険ですという赤い警告が表示されている説明用スクリーンショット。
Google検索結果の危険サイト警告例
Google Search Consoleのセキュリティの問題でハッキングされたコンテンツと改ざんURLが表示されている説明用スクリーンショット。
Google Search Consoleのセキュリティ問題画面

乗っ取り発覚直後の緊急対処5ステップ

乗っ取りが発覚したら、以下の順番で対処します。冷静に、ひとつずつ進めてください。

ステップ1:サイトをメンテナンス状態にする(オフライン化)

まず、改ざんされたサイトを訪問者に見せ続けることを止めます。感染したサイトにアクセスした訪問者のデバイスにマルウェアが感染する可能性があるため、できるだけ早くオフライン化またはメンテナンス状態にしてください。

オフライン化の方法
  • 方法①:サーバーのコントロールパネルからドメインのアクセスを一時停止する
  • 方法②:FTPでWordPressのルートフォルダに「.htaccess」を使ってアクセス制限をかける
  • 方法③:レンタルサーバーのサポートに連絡してサイトを一時停止してもらう
レンタルサーバーのコントロールパネルでドメインのアクセス制限を有効にしている説明用スクリーンショット。
レンタルサーバーのアクセス制限設定例

ステップ2:すべてのパスワードを変更する

攻撃者がパスワードを取得している可能性があります。以下のすべてのパスワードを今すぐ変更してください。

変更すべきパスワード一覧
  • WordPress管理者アカウントのパスワード(全ユーザー)
  • FTP・SFTPのパスワード
  • データベース(MySQL)のパスワード
  • レンタルサーバーのコントロールパネルのパスワード
  • ドメイン管理会社のパスワード
  • サイトに関連するメールアカウントのパスワード

パスワードは16文字以上の英数字・記号の組み合わせにしてください。同じパスワードの使い回しは絶対に避けましょう。

ステップ3:身に覚えのない管理者ユーザーを削除する

WordPress管理画面にログインできる場合は、ユーザー一覧を確認して、身に覚えのないユーザーを削除します。

不審なユーザー確認・削除の手順
  1. WordPress管理画面 →「ユーザー」→「ユーザー一覧」を開く
  2. 見覚えのないユーザー名・メールアドレスのユーザーがいないか確認する
  3. 不審なユーザーにチェックを入れ、「削除」を選択する
  4. 既存の正規ユーザーのパスワードもこのタイミングで全員変更する
WordPressユーザー一覧に見覚えのないadministrator権限のユーザーが表示されている説明用スクリーンショット。
見覚えのない管理者ユーザーが追加された例

ステップ4:サーバー会社・ホスティング会社に連絡する

多くのレンタルサーバー会社は、マルウェア感染・不正アクセスのサポートを行っています。早めに連絡することで、バックアップの保全・アクセスログの提供・セキュリティ診断などの支援を受けられる場合があります。

サーバー会社への連絡でお願いすること
  • マルウェア感染・不正アクセスが発生したことを報告する
  • バックアップデータの保全をお願いする
  • アクセスログの取得をお願いする(攻撃の経路特定に役立つ)
  • サイトの一時停止・アクセス制限のサポートを依頼する

ステップ5:バックアップの状況を確認する

感染前のバックアップがあれば、それを使って復元できる可能性があります。以下の場所にバックアップが保存されていないか確認してください。

バックアップの確認場所
  • UpdraftPlus・BackWPupなどのバックアップ用プラグイン
  • レンタルサーバーの自動バックアップ機能(エックスサーバー・さくらサーバーなど多くのサーバーで提供)
  • Google ドライブ・Dropboxなどのクラウドストレージ
注意:バックアップを復元する前に必ずスキャンする

バックアップが感染後に取得されたものである場合、そのまま復元すると感染したファイルも一緒に戻ってしまいます。バックアップを復元する前に、そのバックアップが感染前のものかどうかを確認してください。バックアップの日時と最初に异変に気づいた日時を比較しましょう。

管理画面にログインできない場合の対処法

攻撃者に管理者パスワードを変更されてしまい、WordPress管理画面にログインできなくなった場合の対処方法です。

方法1:メールでパスワードリセットを試みる

まず、ログイン画面の「パスワードをお忘れですか?」からパスワードリセットメールの送信を試みます。登録したメールアドレスが攻撃者に変更されていなければ、この方法でパスワードをリセットできます。

WordPressログイン画面でパスワードをお忘れですかリンクを確認している説明用スクリーンショット。
WordPressログイン画面のパスワード再設定リンク

方法2:phpMyAdminでパスワードを直接変更する

メールリセットが使えない場合は、データベースを直接操作してパスワードを変更します。

phpMyAdminでパスワードを変更する手順
  1. レンタルサーバーのコントロールパネルから「phpMyAdmin」にアクセスする
  2. WordPressのデータベースを選択する
  3. 「wp_users」テーブルをクリックする
  4. 管理者ユーザーの行の「編集」をクリックする
  5. 「user_pass」フィールドで「関数」を「MD5」に変更し、新しいパスワードを入力する
  6. 「実行」をクリックして保存する
phpMyAdminでwp_usersテーブルを開き、user_passフィールドを編集している説明用スクリーンショット。
phpMyAdminでwp_usersテーブルを編集する画面

方法3:WP-CLIでパスワードを変更する

サーバーにSSHでアクセスできる場合は、WP-CLIを使ってコマンドラインからパスワードを変更できます。

# ユーザー一覧を確認する
wp user list

# 管理者のパスワードを変更する(USER_IDを実際のIDに変更)
wp user update USER_ID --user_pass="新しいパスワード"

マルウェア・バックドアの検出と完全駆除

管理画面に入れるようになったら、次はマルウェアとバックドアの検出・駆除を行います。バックドアとは、攻撃者がいつでも再侵入できるように仕掛けた「隠し扉」です。バックドアを残したまま復旧しても、すぐに再感染してしまいます。

方法1:Wordfenceでマルウェアスキャンを実行する

Wordfenceは無料版でも高精度のマルウェアスキャンができます。感染ファイルの検出と修正に役立ちます。

Wordfenceスキャンの手順
  1. 「Wordfence Security」プラグインをインストール・有効化する
  2. 「Wordfence」→「Scan(スキャン)」をクリックする
  3. 「Start New Scan(新規スキャンを開始)」をクリックする
  4. スキャン完了後、「Results(結果)」に表示された問題を確認する
  5. 「Repair(修復)」ボタンで修復できるファイルは修復し、「Delete All Deletable(削除可能なものをすべて削除)」で不審なファイルを削除する
Wordfenceのスキャン画面でセキュリティ状態を確認しているスクリーンショット。
Wordfenceのスキャン結果画面
Wordfenceのスキャン画面で改ざんファイルやマルウェア検出を確認するスクリーンショット。
Wordfenceスキャン結果画面

方法2:バックアップからの復元(最も確実な方法)

感染前のクリーンなバックアップが確認できた場合は、バックアップから復元するのが最も確実な方法です。

バックアップ復元の手順
  1. 感染前の日時のバックアップを特定する
  2. 現在の感染したサイトのデータを別の場所に保存する(調査のため)
  3. バックアップからWordPressファイルとデータベースを復元する
  4. 復元後、すべてのパスワードを変更する
  5. WordPressコア・プラグイン・テーマをすべて最新版に更新する

方法3:WordPressのクリーンインストール

バックアップがない・バックアップも感染している可能性がある場合は、WordPressをクリーンインストールして、記事データ(データベース)だけを移行する方法もあります。

クリーンインストールの手順(概要)
  1. サーバー上の感染したWordPressファイルをすべて削除する(データベースは保持)
  2. 最新版のWordPressを公式サイトからダウンロードして新規インストールする
  3. wp-config.phpに既存のデータベース接続情報を設定する
  4. 管理画面にログインして、プラグイン・テーマを最新版で再インストールする
  5. データベース内の不審なコードをphpMyAdminで検索・削除する

データベース内にもマルウェアのコード(不審なJavaScript・リダイレクトコードなど)が埋め込まれている場合があります。phpMyAdminで「eval(」「base64_decode」などの文字列を検索してください。

GoogleブラックリストとSafe Browsingの解除申請

Googleの検索結果に「このサイトは危険です」と表示されている場合、Googleのセーフブラウジング(Safe Browsing)ブラックリストに登録されています。マルウェアを駆除した後、Googleに審査を申請する必要があります。

ブラックリスト解除申請の手順
  1. マルウェアの完全駆除が完了していることを確認する
  2. Googleサーチコンソール(search.google.com/search-console)にログインする
  3. 左メニューの「セキュリティの問題」を開く
  4. 「これらの問題を修正しました」にチェックを入れて「審査をリクエスト」をクリックする
  5. Googleが審査を行い、問題なければ警告が解除される(通常数日~1週間程度)
Google Search Consoleのセキュリティの問題で審査をリクエストする説明用スクリーンショット。
Google Search Consoleの審査リクエスト画面
審査リクエスト前に必ず確認すること

マルウェアが残ったまま審査をリクエストすると、Googleの審査で再度マルウェアが検出されてしまいます。この場合、次の審査リクエストまで30日の待機期間が発生することがあります。Wordfenceのスキャンで「問題なし」が確認できてから申請しましょう。

復旧後の再発防止策

乗っ取りから復旧した後も、同じ弱点を放置すると再び攻撃を受けます。以下の再発防止策を必ず実施してください。

WordPressコア・プラグイン・テーマをすべて最新版にする

古いバージョンには既知の脆弱性が存在します。攻撃者はその脆弱性を利用してサイトに侵入します。WordPressの管理画面の「更新」から、コア・プラグイン・テーマをすべて最新版にアップデートしてください。

WordPress管理画面の更新ページでコア、プラグイン、テーマの更新状況を確認しているスクリーンショット。
WordPress更新画面

使っていないプラグイン・テーマを完全削除する

無効化しているだけでは脆弱性が残ります。使っていないプラグインとテーマは「削除」してください。特に更新が止まっているプラグイン(最終更新かヽ年以上経過)は脆弱性のリスクが高いため、代替プラグインへの移行を検討してください。

セキュリティプラグインを導入する

復旧後は、セキュリティプラグインを導入して継続的な保護を行いましょう。以下のプラグインの組み合わせがおすすめです。

復旧後に導入したいセキュリティプラグイン
  • ログイン保護・URLの変更:SiteGuardまたはクイックレスキュー365
  • マルウェアスキャン・ファイアウォール:Wordfence Security
  • 脆弱性監視:Patchstack(脆弱なプラグインを自動検出・通知)
  • 定期バックアップ:UpdraftPlus(感染前の状態に戻せる体制を作る)

二段階認証を設定する

パスワードが漏れても不正ログインを防ぐ最強の対策が二段階認証(2FA)です。Solid SecurityまたはWordfenceの無料版から設定できます。

定期バックアップを必ず設定する

再び感染した際に素早く復旧できるよう、定期バックアップの設定は必須です。UpdraftPlusを使って、週1回以上のバックアップをサーバー外(Google ドライブやDropbox)に保存してください。

乗っ取られたことを訪問者や顧客に通知する必要がありますか?

顧客の個人情報(氏名・メールアドレス・クレジットカード情報など)が流出した可能性がある場合は、個人情報保護法に基づき本人への通知と個人情報保護委員会への報告が必要です。ECサイトや会員制サービスを運営している場合は、法律の専門家に相談することを強くおすすめします。個人情報の取り扱いがない情報発信系のブログであれば、通知義務は発生しないことが多いです。

バックアップがない場合、復旧は可能ですか?

バックアップがない場合でも復旧は可能ですが、時間と技術的な知識が必要です。WordPressのクリーンインストール・データベースの不審コード削除・プラグインとテーマの再設定などを手動で行う必要があります。自力での対応が難しい場合は、WordPressの復旧専門サービスへの依頼を検討してください。

乗っ取りの原因はどやって特定しますか?

サーバーのアクセスログを分析することで、どのIPアドレスからどのファイルにアクセスされたか確認できます。Wordfenceのスキャン結果に表示される改ざんされたファイルの日時も参考になります。多くの場合、古いプラグインの脆弱性・弱いパスワード・管理者ID「admin」の使用が原因です。

自分で復旧できるか不安です。プロに頼む基準は?

以下のいずれかに当てはまる場合は、専門家への依頼を検討してください。①管理画面にも入れずFTPの操作も難しい、②Wordfenceのスキャンで大量のファイルに感染が検出されている、③バックアップがなく感染範囲が広い、④ECサイト・会員制サービスで個人情報漏洎の可能性がある、⑤復旧を試みたが再感染してしまう。このような状況では、自力での対応よりも専門家に依頼した方が時間的・経済的に有利な場合が多いです。

ホームページ乗っ取り対処まとめ

ホームページが乗っ取られた場合、初動対応のスピードが被害の拡大を防ぐカギです。パニックにならず、順番に対処してください。

乗っ取り対処チェックリスト
  1. サイトをオフライン化・メンテナンス状態にする
  2. すべてのパスワードを変更する
  3. 身に覚えのない管理者ユーザーを削除する
  4. サーバー会社に連絡してバックアップを保全する
  5. Wordfenceでマルウェアスキャン・駆除を行う
  6. Googleサーチコンソールで審査をリクエストする
  7. プラグイン・テーマ・WordPressをすべて最新版にする
  8. セキュリティプラグイン・二段階認証・定期バックアップを設定する

自分での対処が難しいと感じたら、無理をせずに専門サービスへの依頼を検討してください。対処が遅れるほど被害が拡大します。

ホームページの乗っ取りが自分で解決できない時は

WordPress修復マルウェア駆除トラブル専門「クイックレスキュー」

ホームページの乗っ取り・マルウェア感染・不正アクセスでお困りなら、
クイックレスキューが解決します。

こんなお悩みはありませんか?
  • ホームページが乗っ取られた・改ざんされた
  • 管理画面にログインできなくなった
  • 変なサイトにリダイレクトされている
  • Googleに危険なサイトと表示されている
  • 自分で復旧しようとしたが直らない
  • WordPressを復旧・修正したい

こんなお悩みなら最短30分ですぐに解決します!
いまなら期間限定で3つの安心保証

3つの安心保証
  • 万一復旧できない場合やマルウェア駆除できない場合は全額返金保証で安心
  • 90日間再感染保証・動作保証で安心
  • 初期費用・調査費用0円で安心

この記事を書いた専門家

こんにちは!20年以上ITエンジニアとして活動してきた
よこやま良平です。

Wordpress復旧やサイト修復、オンライン講座では
776件以上のレビューを頂いており

「すぐに復旧してくれる!」
「当日行ってくれて助かった!」など

評価は4.9/5.0と非常に高く好評です。

またWordPress、SEO、Officeなど30冊以上の書籍を出版しており、
売上ランキング1位を連続で獲得致しました。

その他これまでに3000以上のサービス・システム・サイトを作成。

多くの方の「できない」や「悩み」を解決してきました。
その観点からわかりやすく解説しています。

目次