WordPress感染を発見した直後に
やるべきこと
「サイトが真っ白になった」「変なサイトに飛ばされる」「サーバー会社から警告メールが来た」——こうした異変に気づいた瞬間、多くの方がパニックに陥ります。 しかし、最初の1時間の行動が、その後の被害額と復旧期間を大きく左右します。
この記事では、私たちが年間200件以上のWordPress復旧を手がけてきた経験から、「何から手をつければいいかわからない」状態でも迷わず動けるよう、 初動の行動順序を整理しました。
今まさに感染中の方へ
この記事を読む時間もない緊急事態なら、すぐにご連絡ください。 状況をヒアリングして、最短ルートで復旧に向かいます。
感染発覚後の「ゴールデンアワー」
医療の世界では、事故後の最初の1時間を「ゴールデンアワー」と呼び、この間の処置が生死を分けるとされています。 WordPress感染でも同じことが言えます。最初の60分間に正しい行動を取れるかどうかで、 復旧にかかる時間が数時間で済むか、数日かかるかが変わります。
証拠を押さえる
まず深呼吸してください。そして何も操作する前に、今の状態を記録します。 これは後で原因を特定するための重要な証拠になります。
具体的にやること:
- ブラウザで表示されている画面のスクリーンショットを撮る(PC・スマホ両方)
- サーバー会社からの通知メールがあれば、全文をコピーして保存する
- 「いつ気づいたか」「最後に正常だったのはいつか」をメモする
- Google Search Consoleに警告が出ていないか確認する
この段階では絶対にファイルを触らないでください。「直そう」として状況を悪化させるケースが非常に多いです。
被害の拡散を止める
証拠を押さえたら、次はこれ以上被害が広がらないようにすることが最優先です。 訪問者がマルウェアに感染するリスクを断ち切ります。
具体的にやること:
- サーバーパネルからサイトのアクセス制限をかける(Basic認証が最速)
- DNSのCloudflare等を使っている場合は「Under Attack Mode」をONにする
- 同じサーバーに他のサイトがある場合、それらも感染していないか確認する
# .htaccessに追記(サイトルート) AuthType Basic AuthName "Maintenance" AuthUserFile /home/ユーザー名/.htpasswd Require valid-user # .htpasswdの作成(SSH接続できる場合) htpasswd -c /home/ユーザー名/.htpasswd admin
認証情報を全て変更する
攻撃者はすでにあなたのパスワードを知っている可能性があります。駆除より先にパスワードを変えるのが鉄則です。 駆除してからパスワードを変えると、その間に再侵入されるリスクがあります。
変更すべき認証情報(優先順):
- 1サーバーパネルのパスワード(cPanel、Plesk等)——ここを取られると全てが終わります
- 2FTP/SFTPのパスワード——ファイル操作の入口です
- 3データベースのパスワード——変更後、wp-config.phpの該当箇所も書き換えます
- 4WordPress管理画面の全ユーザーのパスワード
※ パスワードは20文字以上、英数字記号混在で生成してください。パスワードマネージャーの利用を推奨します。
現状のバックアップを取得する
「感染しているのにバックアップ?」と思うかもしれませんが、これは証拠保全です。 駆除作業中に誤ってファイルを消してしまった場合の保険にもなります。 また、後日「どのファイルが改ざんされていたか」を調査するときに必要です。
バックアップの取り方:
- サーバーパネルの「ファイルマネージャー」から全ファイルをZIPでダウンロード
- phpMyAdminからデータベースをSQLファイルでエクスポート
- サーバー会社の自動バックアップ機能があれば、感染前の日付のバックアップも確保
ここまでが「初動」です
60分以内にここまで完了できれば、被害の拡大は防げています。 この先の「マルウェアの特定と駆除」は専門知識が必要な領域です。 自力で進めるか、専門家に任せるかの判断については、この記事の後半で解説します。
被害のトリアージ——状況を3段階で判定する
初動が完了したら、次は「自分のサイトがどの程度やられているのか」を把握します。 私たちは復旧依頼を受けた際、まず以下の3段階で状況を分類しています。
表層的な改ざん
サイトの見た目が変わっている、不審なリンクが追加されている程度。 WordPressの管理画面にはログインでき、サーバーも正常に動作している状態。
→ 技術知識があれば自力復旧が可能。所要時間の目安:2〜4時間
リダイレクト型・バックドア設置型
スマホでアクセスすると別サイトに飛ばされる、.htaccessが改ざんされている、 見知らぬPHPファイルが大量に生成されている。管理画面にログインできない場合もある。
→ 自力復旧は可能だが、バックドアの見落としリスクが高い。所要時間の目安:半日〜1日
データベース汚染・サーバー凍結
データベース内にも不正コードが注入されている、サーバー会社からアカウント凍結の通知が来ている、 同一サーバー上の複数サイトが同時に感染している。
→ 専門業者への依頼を強く推奨。自力での完全駆除は極めて困難。
現場で実際に見た「やってはいけない初動」
以下は、私たちに復旧依頼が来た時点で「すでにやってしまっていた」行動の中で、 特に被害を拡大させていたものです。どれも「良かれと思って」やったことばかりです。
感染ファイルを見つけ次第、片っ端から削除した
WordPressのコアファイル(wp-includes内のファイル等)まで削除してしまい、サイトが完全に動作不能に。 さらに、削除したファイルが「証拠」だったため、侵入経路の特定ができなくなりました。結果:復旧費用が2倍に膨らんだケースがありました。
「感染前のバックアップ」をそのまま復元した
バックアップの時点ですでにバックドアが仕込まれていたため、復元後24時間以内に再感染。 バックアップは「感染前」に見えても、実際にはバックドアの設置は数週間前から 行われていることが大半です。
WordPressを再インストールして「上書き」した
コアファイルは新しくなりましたが、wp-content内のバックドアやデータベース内の不正コードはそのまま残存。 見た目は直ったように見えて、裏では攻撃者がアクセスし続けていた——というケースです。
「とりあえず様子を見よう」と放置した
1週間放置した結果、Googleのセーフブラウジングに登録されてしまい、 検索結果に「このサイトは危険です」の警告が表示されるように。 SEO順位が大幅に下落し、マルウェア駆除後もSEOの回復に3ヶ月以上かかりました。
サーバー凍結された場合の具体的な動き方
レンタルサーバー会社からアカウント凍結の通知が来た場合、焦る気持ちはわかりますが、 サーバー会社はあなたの味方です。 他の利用者を守るために凍結しているだけで、適切に対応すれば解除されます。
凍結時の対応フロー
- 1通知メールを熟読する
サーバー会社は通常、不正ファイルのリストや対応期限を記載しています。この情報が復旧の出発点です。
- 2FTP/ファイルマネージャーでアクセスできるか確認する
多くのサーバー会社は、Web公開は停止してもFTPアクセスは維持しています。ファイルの確認・修正はFTP経由で行います。
- 3マルウェアを駆除する(自力 or 業者依頼)
通知に記載された不正ファイルだけでなく、バックドアも含めて完全に駆除する必要があります。
- 4サーバー会社に「駆除完了報告」を送る
何をどう対処したかを具体的に記載します。「駆除しました」だけでは不十分で、対処内容の詳細が求められます。
対応期限に注意
サーバー会社によっては、凍結から一定期間(通常7〜14日)以内に対応しないとデータが削除される場合があります。 通知メールに記載された期限を必ず確認してください。
自力復旧か業者依頼か——判断のポイント
「できれば自分で直したい」という気持ちはよくわかります。 ただし、不完全な駆除は再感染のリスクを高めるだけです。 以下の条件に1つでも当てはまる場合は、専門家への相談をお勧めします。
業者に依頼すべきケース
自力復旧を試みてもよいケース
マルウェアの不安を 今すぐ解消しませんか?
リバースハックはWordPress専門のセキュリティチームです。 マルウェア駆除から再発防止まで、ワンストップでサポートします。 まずはお気軽にご相談ください。
※ 相談は無料です。お見積もりだけでもお気軽にどうぞ。
この記事をシェア