WordPressが乗っ取られた！？すぐできる対処法とセキュリティ強化方法を解説

WordPressは世界で最も利用されているCMSである一方、乗っ取りやハッキング、ウイルス感染などサイバー攻撃の標的にもなりやすい傾向にあります。

特に「WordPressが乗っ取られた」「不正アクセスされた」「改ざんされた」といった被害は年々増加しています。

しかし、セキュリティ対策と復旧手順を知っておけば、被害の拡大を防ぐことは可能です。

今回はWordPressが乗っ取られてしまった時の症状、対処方法、セキュリティ強化方法を詳しく解説します。

WordPressの乗っ取り・ハッキングによる症状5選

WordPressが乗っ取られている兆候を、危険度の高い順に5つ見ていきましょう。

管理画面からログインできない

WordPressの管理画面にログインできなくなった場合、乗っ取りやハッキングが行われた可能性があります。

パスワードを入力してもログインできないときは、まずリセットしてログインしてみてください。それでもログインできなければ、WordPressサイトに攻撃を受けているかもしれません。

トラフィックが急激に減少している

WordPressのWebサイトで急激にトラフィックが減少する状態も、乗っ取りやハッキングに遭っている兆候の1つです。

トラフィックの急減は、アクセス数が多かったサイトであるほど収益と流入の喪失が大きく、深刻な損失に繋がる可能性があります。

Google・サーバー会社からの通知、ユーザーからの連絡

Google、サイバー会社、ユーザーの三者から通知が来る場合も、WordPressの乗っ取りやハッキング被害の影響の場合があります。

Googleは異常を検知すると「Google Search Console」からメールで通知をしてきます。

この通知がきた場合は、ある程度長期間にわたりWordPressのWebサイトが乗っ取られているため、早急に対策が必要です。

Googleの検索エンジンが警告を発することもあり、自社サイトを検索した際に「This site may be hacked」というメッセージが表示されます。

また、サーバーをレンタルしている場合は、サーバー会社から「スパム行為が確認されました」といった内容の通知が来ることがあります。

この場合もWordPressのWebサイト内で何らかの不正な書き換えなどが行われてしまっている可能性を示しているでしょう。

その他にも、利用者から「知らないサイトにリダイレクトされた」と問い合わせが届くこともあります。

スパム広告が表示される

WordPressのWebサイトに突然、設定した覚えのないスパム広告が表示される場合は、乗っ取り被害の可能性が非常に高いです。

よくあるのは、アダルトサイトなどの広告や、違法商品に関するスパム広告が大量に仕掛けられることが多く、早急な対応が必要になります。

Webサイトが別のWebサイトになる・勝手にリダイレクトされる

WordPressのWebサイトにアクセスすると、別のサイトに変わってしまう場合、完全にWordPressの乗っ取りが行われてしまっています。

また自社のWebサイトにアクセスした際、突然全く知らないWebサイトへ自動的にリダイレクトされる場合もあり、こちらも早急に対処しないとユーザーのサイト離れに繋がってしまうでしょう。

WordPressの乗っ取り・ハッキングへの対処方法7選

実際にWordPressが乗っ取りやハッキングの被害にあった場合、すぐに確認して対処することが重要です。

最悪の場合、大事なWebサイトを失ってしまう可能性があるため、早急にできる対処方法を7つご紹介します。

最新情報のバックアップの取得

1番最初にすべきことは、Webサイトのバックアップを取得することです。

また、どの時点のバックアップデータかがわかるように保存しておきましょう。

ID・パスワードの変更・強化

ID・パスワードを推測されづらいものに変更して強化しましょう。

シークレットキーの変更や二段階認証を設定するのも非常に効果的です。

Webサイトの設定変更・アクセスの制限

WordPressのログインページURLを複雑なものに変更しましょう。

また、サイト全体を「メンテナンス中」に設定することで、外部からのアクセスを制限し、ユーザーへの二次被害を防ぐことができます。

WordPressやテーマ、サイトをスキャン

WordPress本体、テーマ、そしてサイト全体をマルウェアやウイルスの感染がないかスキャンを行いましょう。

自分で行う場合はウィルスチェック用のプラグインを使用すると手軽にできます。

不正なコードやファイル、不審なアカウントの確認・削除

身に覚えのない不審なスクリプトやコード、アカウントやファイルを見つけた場合、削除しましょう。

誤って必要なアカウントまで削除しないように、注意してください。

テーマやプラグインの再インストール

不審なコードを削除しても改善しない場合は、テーマやプラグインの再インストールが有効です。

基本、プラグインのファイルを削除して再インストールしても設定は失われませんが、テーマは初期化されてしまいます。

そのため、独自のカスタマイズをしている場合は再度調整が必要です。

ブラックリストからの削除依頼

一通りWordPressへの乗っ取りやハッキングへの対処ができたら、Googleのセーフブラウジングリスト、もしくはウイルス対策システム会社のブラックリストからの削除依頼をしましょう。

さらに詳しく乗っ取りやハッキングへの対処方法を知りたい方は、こちらを参考にしてみてください。

WordPressの乗っ取りを防ぐには？

WordPressが乗っ取られたり、ハッキングされたりしないためには、日頃からサイトの保守管理をすることが大切です。

すぐにできる乗っ取り対策には次のものがあります。

ID・パスワード・ログインセキュリティの強化

乗っ取りやハッキング被害の多くは、ID・パスワードが簡単すぎるものに設定されているのが原因です。

相手に予測されづらい複雑なID・パスワードにすることはもちろん、二段階認証などのログインセキュリティの強化も非常に有効になります。

信頼できるテーマ・プラグインの使用

WordPressのテーマやプラグインは、企業・個人問わず、誰でも自由に公開することができるため、中には脆弱性を持つテーマやプラグインが存在する可能性があります。

信頼できるテーマやプラグインを選ぶには、評価やインストール数を確認するようにしましょう。

定期的なバックアップの実施

定期的にWordPressのバックアップを取っておくことで、万が一の際にも、すぐにサイトを復旧できる体制を整えられます。

プロに対応を依頼する

WordPressの専門知識を持つWeb制作会社に日頃から対策を依頼することで、深刻なハッキング被害にあった際も迅速に対応可能です。

Webサイトを安全に運営するためにも、Web制作会社の保守運用サービスを活用してみましょう。

WordPressの保守運用はプロに任せるのがおすすめ

WordPressが乗っ取られた場合、大切なサイトを失う可能性もあるため、いかに早く解決できるかが鍵です。

自分で解決できる簡単な問題の場合もありますが、知識が足りずに誤った操作をしてしまうと、後で専門家にお願いしてもサイトが復旧できないケースもあります。

そのため、日頃からWeb制作会社に依頼して、WordPressのセキュリティ強化、乗っ取りやハッキング被害に遭った際の対策をしておくと安心です。

「ホームページを安全に運営したい」とお悩みの方は、Webサイト制作から保守運用、メンテナンスまでワンストップで対応できるAVII IMAGEWORKSまでご相談ください。