こんにちは、埼玉県戸田市でWeb制作を手がけている株式会社ミアキスの代表です。
先日、お客様から緊急の電話がかかってきました。「サイトを開いたら変な海外サイトに飛ばされるんです!」。実際に確認してみると、WordPressサイトがハッキング被害に遭っていました。
このような事態は決して他人事ではありません。WordPressは世界中で使われているCMSだからこそ、攻撃者のターゲットにもなりやすいんです。今回は、実際の経験をもとに、ハッキングされた時の対処法と予防策を詳しく解説します。
WordPressがハッキングされた?まず確認すべき症状
「なんかサイトの様子がおかしい」と感じたら、以下のような症状が出ていないか確認してください。
- 変なページに自動でリダイレクトされる(海外サイトやアダルトサイトなど)
- 管理画面にログインできなくなる
- 見覚えのないユーザーアカウントが作成されている
- サイトの表示が極端に遅くなった
- Googleから「このサイトはハッキングされている可能性があります」という警告が出る
- ファイル一覧に身に覚えのないファイルが増えている
- 急に英語や中国語のスパム記事が大量投稿される
これらの症状が1つでも当てはまれば、ハッキングされている可能性が高いです。放置すればするほど被害が拡大するので、早急な対応が必要です。
実際に起きた事例から学ぶ(ミアキスの経験談)
埼玉県内の製造業のお客様から相談を受けた時のことです。
「お客様から『御社のサイト、開くと全然違うページになりますよ』って連絡があって…。確認したら確かに変なんです。どうしたらいいでしょうか?」
すぐに調査したところ、プラグインの脆弱性を突かれて不正ファイルが埋め込まれていました。しかも、WordPressの管理者パスワードが「password123」という簡単なものだったため、総当たり攻撃で突破されていたんです。
この事例では、以下のような状況でした。
- WordPressのバージョンが3年前のまま放置
- 使っていないプラグインが10個以上インストールされたまま
- バックアップを一度も取っていない
- セキュリティ対策プラグインは未導入
結果として、サイトの完全復旧まで3日かかり、その間はビジネスチャンスを逃すことになってしまいました。お客様からの信頼も一時的に損なわれてしまったことは、とても残念でした。
ハッキングされた際の緊急対処法
もしWordPressがハッキングされてしまったら、以下の手順で対応してください。
1. サイトを一時的に閉鎖する
訪問者を守るため、まずはサイトをメンテナンスモードにするか、一時的に閉鎖しましょう。被害が拡大するのを防ぐための最優先事項です。
2. パスワードをすべて変更する
管理画面にログインできる場合は、WordPress管理者、FTP、データベースなど、関連するすべてのパスワードを複雑なものに変更してください。
3. 不正なファイルを特定・削除する
FTPソフトでサーバーに接続し、見覚えのないファイルや更新日時が不自然なファイルを探します。特に以下のディレクトリを重点的にチェックしましょう。
- wp-content/uploads/
- wp-includes/
- wp-admin/
- テーマフォルダ内
もし専門知識がない場合は、無理に自分で対処せず、専門業者に依頼することをおすすめします。誤って重要なファイルを削除すると、さらに状況が悪化する可能性があります。
4. WordPressとプラグインを最新版に更新
クリーンアップが完了したら、WordPressコア、すべてのプラグイン、テーマを最新版にアップデートします。脆弱性が残っていると、再度攻撃される可能性があるためです。
5. バックアップから復元(可能な場合)
もし定期的にバックアップを取っていれば、感染前の状態に戻すのが最も確実です。ただし、バックアップ自体が感染している可能性もあるので、必ず感染前の日付のものを選びましょう。
WordPressハッキングを予防する5つの対策
「予防は治療に勝る」という言葉がありますが、これはWordPressのセキュリティにも当てはまります。日頃から以下の対策を実施しておきましょう。
1. 定期的なアップデートを徹底する
WordPress本体、プラグイン、テーマは常に最新版に保ちましょう。アップデートの通知が来たら、できるだけ早く対応することが重要です。
ミアキスでは、月額保守プランでこういった定期アップデートを代行しています。「自分では管理しきれない」という方は、プロに任せるのも一つの選択肢です。
2. 強固なパスワードを設定する
管理者のユーザー名を「admin」のままにしている人は今すぐ変更してください。パスワードも、英数字記号を組み合わせた12文字以上の複雑なものにしましょう。
3. 不要なプラグインは削除する
使っていないプラグインを有効化したまま放置するのは危険です。プラグインの数が多いほど攻撃される入口も増えます。本当に必要なものだけを残し、他は削除しましょう。
4. セキュリティプラグインを導入する
WordPressには優秀なセキュリティプラグインがあります。例えば「Wordfence Security」や「iThemes Security」などを導入することで、不正ログインの試行をブロックしたり、ファイルの改ざんを検知できます。
5. 定期的なバックアップを取る
もしもの時に備えて、週1回以上のバックアップを取りましょう。自動バックアッププラグインを使えば、手間なく定期バックアップが可能です。
ミアキスの保守運用サービスでは、バックアップ取得も標準で含まれているので、安心してサイト運営に集中できます。
Q&A:よくある質問
Q. ハッキングされたらGoogleの検索順位に影響しますか?
A. はい、大きく影響します。Googleはハッキングされたサイトを検索結果から除外することがあります。また、「このサイトはハッキングされている可能性があります」という警告が表示されると、訪問者も激減します。
Q. 自分で復旧できない場合、どこに相談すればいいですか?
A. WordPressのセキュリティに詳しい制作会社や保守専門業者に依頼するのが確実です。ミアキスでも緊急対応のご相談を受け付けていますので、お気軽にご連絡ください。
Q. 保守契約をしていればハッキングは100%防げますか?
A. 残念ながら100%防げるとは言えません。ただし、リスクを大幅に減らし、万が一の際も迅速に復旧できる体制が整います。保険のような役割だと考えてください。
Q. 小規模なサイトでも狙われますか?
A. はい、狙われます。攻撃者は大手企業だけでなく、セキュリティが甘い小規模サイトも無差別に攻撃しています。「うちは小さいから大丈夫」という考えは危険です。
まとめ:事前の備えが何より大切
WordPressがハッキングされると、サイトの復旧だけでなく、信頼回復にも時間とコストがかかります。
実際に被害を受けたお客様からは、「もっと早く対策しておけばよかった」という声をよく聞きます。でも、今この記事を読んでいるあなたは、まだ間に合います。
埼玉県戸田市を拠点とする株式会社ミアキスでは、WordPressのセキュリティ対策から保守運用まで、トータルでサポートしています。「自社サイトのセキュリティが不安」「一度プロに診断してほしい」という方は、ぜひお気軽にご相談ください。
あなたの大切なWebサイトを守るお手伝いをさせていただきます。