WordPressが乗っ取られたときの対処法 今すぐやること・復旧・再発防止
まず今すぐやること(応急対応3ステップ)
「サイトが勝手に別ページになった」「管理画面に入れない」
WordPressの乗っ取りが疑われるときは、被害の拡大を止めることが最優先です。
まずは落ち着いて、次の応急対応から始めてください。
1. サイトを一時停止する(メンテナンスモード or アクセス制限)→ 訪問者への二次被害を止める
2. パスワードを全部変える(WordPress管理者・FTP・サーバー・DB・シークレットキー)
3. 不審なユーザー/ファイル/プラグインを確認・削除し、マルウェアをスキャンする
※ 詳しい手順は下記「乗っ取られたときの対応手順(6ステップ)」を参照してください。
乗っ取りが疑われるときのチェックリスト
まず、本当に乗っ取りかどうかを確認します。
以下に1つでも当てはまれば、乗っ取りや改ざんの可能性が高い状態です。
・管理画面(wp-admin)に正しいID・パスワードでログインできない
・サイトを開くと、身に覚えのない別サイトへ自動的に飛ばされる
・トップページのデザインや文言が書き換えられている
・見覚えのないスパム広告や、日本語以外のページが表示される
・Google検索結果に「このサイトは第三者によってハッキングされている可能性があります」と表示される
・ブラウザやセキュリティソフトが警告を出す
・サーバー会社から「スパム送信が検出されました」といった通知が届いた
WordPress乗っ取りの主な症状
乗っ取りの被害は、見た目にわかりやすいものばかりではありません。
代表的な症状を挙げます。
ログインできなくなる
正しいパスワードを入れてもログインできない場合、
攻撃者に管理者パスワードを変更されている可能性があります。
外部サイトへ勝手に転送される(リダイレクトハッキング)
サイトを開くと悪質な外部サイトへ自動転送される手口です。
管理者自身のアクセスでは発動しないよう仕込まれていることもあり、気づくのが遅れがちです。
コンテンツの改ざん・不正ページの追加
トップページの書き換えだけでなく、管理者が知らないうちに大量の不正ページが作られ、
Googleにインデックスされてしまうこともあります。
トラフィックの急減
サイトがブラックリストに登録されると検索結果から除外され、アクセスが急激に落ち込みます。
サイトが極端に重くなる
DoS/DDoS攻撃の踏み台にされている場合、
サーバー負荷が上がり、表示が遅くなったりダウンしたりします。
乗っ取られたときの対応手順(6ステップ)
乗っ取りが疑われる場合は、被害の拡大を止めることが最優先です。
次の順序で対応します。
1. サイトを一時停止する
メンテナンスモードに切り替えるか、サーバー側でアクセスを制限し、訪問者がマルウェアに感染する二次被害を防ぎます。
2. パスワードとシークレットキーを変更する
WordPress管理者、FTP、サーバー管理画面、データベースのパスワード、認証用シークレットキーを変更します。攻撃者が握っている可能性のある情報をすべて無効化します。
3. 不審なユーザー・ファイル・プラグインを確認する
身に覚えのない管理者ユーザーが追加されていないか、導入した覚えのないプラグインや不審なコードが仕込まれていないかを確認し、削除します。
4. マルウェアスキャンと駆除を行う
WordPress全体・テーマ・アップロードファイルをスキャンし、不正なコードを除去します。改善しない場合は、正常なバックアップからの復元や、テーマ・プラグインの再インストールを検討します。
5. 管理端末もスキャンする
運用に使っているPCもフルスキャンし、端末側の感染を取り除きます。ここを省くと、対応後すぐに再侵入される恐れがあります。
6. 復旧と警告解除を行う
安全を確認できたらバックアップを取得し、本体・プラグインを最新化します。Google Search Consoleから警告解除の再審査を申請します。
改ざんの範囲が特定できない場合や、駆除しても再発する場合は、自力対応を続けず、専門のサービスやサーバー会社に相談する判断も必要です。中途半端な駆除は、裏口となるコードを残してしまうことがあります。
WordPressが乗っ取られる原因
応急対応が済み、サイトが復旧したら、次は「なぜ乗っ取られたのか」を押さえて再発を防ぎます。
WordPress公式ドキュメントでも、本体・テーマ・プラグインを最新に保つことの重要性が繰り返し説明されています。乗っ取りの原因は、多くが次の3つに当てはまります。
IDとパスワードの突破
「admin」などの推測されやすいユーザー名や単純なパスワードは、総当たり攻撃(ブルートフォースアタック)で破られやすくなります。プログラムによる自動攻撃も日常的に行われています。
本体・テーマ・プラグインの脆弱性の放置
脆弱性は日々発見され、その都度修正版が公開されます。更新を怠ると、公開済みの脆弱性が侵入口として残り続けます。非公式サイトから入手したテーマ・プラグインや、長期間更新の止まったプラグインは特に注意が必要です。
管理端末のマルウェア感染
運用担当者のPCがマルウェアに感染していると、ログイン情報そのものが盗まれます。WordPress側の設定を固めても、端末が感染していれば防ぎきれません。
再発を防ぐための対策
乗っ取り対策は、一度やって終わりではなく、継続して行う必要があります。
アカウントまわりの対策
推測されにくいユーザー名と強固なパスワードにし、二要素認証を導入します。ログインページのURL変更や、投稿者アーカイブでのユーザー名の露出を防ぐ設定も有効です。
更新まわりの対策
本体・テーマ・プラグインを最新に保ちます。自動更新に任せきりにすると、表示崩れやフォーム・計測タグの不具合、テーマとの互換性トラブルが起こることがあるため、更新後の動作確認が欠かせません。
インフラまわりの対策
WAF(Webアプリケーションファイアウォール)やDDoS対策で、外部からの攻撃をサイトに届く前に遮断します。海外IPからのアクセス制限や、定期的な自動バックアップも重要です。
対策を続けるのが難しい理由
ここまで挙げた対策は、どれも実施すべきものです。しかし実務では、次のような状況が起こりがちです。
・脆弱性情報を誰が追い、いつ対応するのかが決まっていない
・プラグイン更新のたびに動作確認する時間が取れない
・バックアップは取っているが、復元手順が担当者しかわからない
・情シス担当がいない、または総務・管理部門が兼任していて手が回らない
WordPressの運用は、セキュリティ、バージョン対応、プラグイン更新、バックアップ、障害時の切り分け、サーバー会社とのやり取りと、見た目以上にやることが多い領域です。これらを少人数で継続するのは負担が大きく、乗っ取りの多くは技術力の問題以上に、運用体制が回りきらないことから生まれます。
セキュリティを標準装備したWordPressホスティング「WP-Chorus」
これらの対策を自社だけで継続するのは負担が大きく、抜け漏れも起こりがちです。そこで有効なのが、乗っ取り対策に必要なセキュリティ機能をあらかじめ組み込んだホスティング基盤に乗せることです。
その選択肢が、NHNテコラスが提供する企業サイト専用のWordPressクラウドホスティング「WP-Chorus」です。
先に挙げた乗っ取りの主な原因のうち、インフラ側で守れる部分を標準機能でカバーします。
WP-Chorusの主な特長は以下の通りです。
攻撃をサイトに届く前に遮断する(WAF・DDoS対策)
DDoS対策と「攻撃遮断くん」のエンジンを搭載したWAFを標準装備。
ブルートフォース攻撃や脆弱性を突く不正アクセスを、サイトに到達する前に検知・遮断します。
Amazon CloudFront(CDN)やロードバランサーによる負荷分散も備え、DDoSやアクセス集中でも落ちにくい構成です。専門のセキュリティ担当がいなくても、外部攻撃への一次防御を基盤側に任せられます。
不正ログインを防ぐ(二要素認証・SSL)
二要素認証やSSL証明書を用意。
乗っ取りで最も多い侵入経路であるID・パスワードの突破に対して、ログインの多層防御と通信の暗号化で守りを固めます。
脆弱性・パッチ対応を任せられる(24時間365日監視)
サーバーやミドルウェアのパッチ管理を運用側で実施し、24時間365日のサーバー監視も行います。
脆弱性対応が後回しになりがちなインフラ層をカバーします。
万一乗っ取られても元に戻せる(自動バックアップ・ステージング)
自動バックアップ、フェイルオーバー、ワンクリックでコピーできるステージング環境を提供。
被害を受けても正常な状態へ素早く復旧でき、対策の検証も本番に影響なく行えます。異常検知時に自動復旧するプランもあります。
セキュリティの相談窓口を一元化
トラブル時に制作会社・情シス・サーバー会社と相談先が分かれ、対応が遅れがちな点も、NHNテコラスの担当者が直接サポートする一元窓口で解消します。攻撃を受けたときに「どこに相談すればいいか」で迷いません。
WP-Chorusはインフラ・セキュリティ層を強化するサービスです。
WordPress本体やプラグインの更新、コンテンツ管理まで代行するものではありませんが、乗っ取り被害の入口となる攻撃遮断・不正ログイン対策・バックアップを標準化できるため、限られた人数でも乗っ取りに強い運用を実現しやすくなります。
次のような企業に向いています。
・情シス担当が少なく、少人数でWordPressを運用している企業
・総務・管理部門がWebサイト管理を兼任している企業
・クライアントのWebサイトをWordPressで構築・運用している制作・支援会社
WordPressの乗っ取りは、改ざんや情報漏えい、踏み台化など、事業の信頼に関わる被害につながります。
被害が疑われるときは、サイトを止める、パスワードを変える、駆除する、復旧する、再発を防ぐ、という順序で対応することが重要です。
そのうえで、乗っ取りは起きてから対処するより、起きにくい運用体制を整えるほうが負担を抑えられます。
セキュリティやバックアップに不安がある場合は、WordPressの運用基盤そのものを見直すことも検討する価値があります。
本コラムの作成・編集者
ターゲットメディア株式会社 BtoBマーケティング研究チーム
私たちは、「日本のBtoBマーケティングをアップデートする」をミッションに活動する専門家チームです。
BtoB領域に特化して、17年以上・支援社数200社以上のマーケティング支援を手掛け、そこで蓄積された成功事例や実践的なノウハウを、現場で奮闘するマーケターの皆様にお届けしています。
チームには、戦略コンサルタント、データアナリスト、コンテンツ制作のプロフェッショナルが在籍し、多角的な視点から成功のヒントを発信します。