WordPressサイトがハッキングされると、ある日突然、自社のホームページがまったく別のサイトに書き換えられます。問い合わせフォームから収集した顧客情報が漏洩し、Googleの検索結果に「このサイトは危険です」という警告が表示される。復旧には最低でも10万円以上の費用と数日間のダウンタイムが発生します。この記事では、WordPressがハッキングされた場合の具体的な被害事例と、復旧手順、そして事前に講じるべきセキュリティ対策を実務者の視点で解説します。
WordPressは世界で最もハッキングの標的にされているCMS
WordPressは全世界のWebサイトの約43%で使われているCMSです。シェアが大きいということは、攻撃者にとって「一つの手口を開発すれば大量のサイトに使い回せる」ことを意味します。Sucuri社の2022年版Webサイト脅威調査レポートによると、マルウェア感染が確認されたCMSサイトのうち96.2%がWordPressだったと報告されています(出典 Sucuri 2022 Hacked Website Report)。これはWordPressが脆弱だからではなく、圧倒的なシェアゆえに攻撃効率が高いからです。
中小企業のサイトが狙われるのは「うちみたいな小さな会社を狙っても意味がない」という誤解が原因です。攻撃者は特定の企業を狙っているのではなく、脆弱性のあるサイトをボットで自動スキャンして片っ端から侵入します。会社の規模は関係ありません。セキュリティ対策が甘いサイトが、無差別に攻撃されるのが現実です。予防側の具体策はWordPressのセキュリティ保守で最低限やるべき5つのことにまとめています。
ハッキング被害の実態は「改ざん」だけではない
ハッキングと聞くと、トップページが書き換えられる「改ざん」をイメージする方が多いです。しかし実際の被害はもっと多様で、気づかないまま被害が拡大するケースが大半です。
サイト改ざんでブランドイメージが一瞬で崩壊する
最もわかりやすい被害がサイトの改ざんです。改ざんによって画面が真っ白になった場合の切り分け方は自分でWordPressをアップデートして画面が真っ白になった対処法も参考になります。企業のトップページが政治的なメッセージや、攻撃者の主張に書き換えられるケースがあります。顧客がアクセスした瞬間に異常を感じるため、企業への信頼は一瞬で崩壊します。JPCERT/CCのインシデント報告対応レポートによると、Webサイト改ざんのインシデントは継続的に報告されており、2023年も四半期ごとに数百件規模で発生しています(出典 JPCERT/CC インシデント報告対応レポート)。
改ざんは「見た目が変わるだけ」ではありません。改ざんされた時点で、サーバー内部にはバックドア(再侵入用の裏口)が仕掛けられている可能性が高いです。表面だけ元に戻しても、バックドアが残っていれば何度でも侵入されます。
マルウェア埋め込みでサイト訪問者にも被害が及ぶ
ハッキングされたWordPressサイトに、訪問者のパソコンやスマートフォンにマルウェアをダウンロードさせるコードが埋め込まれるケースがあります。この場合、自社が被害者であると同時に、サイト訪問者への加害者になってしまいます。
マルウェアが埋め込まれたサイトはGoogleのセーフブラウジング機能によって「危険なサイト」としてブロックされます。検索結果にも警告が表示されるため、オーガニック流入が激減します。(復旧してGoogleに再審査を申請しても、警告の解除には数日から数週間かかります。その間の売上損失は計り知れません)
SEOスパムで検索順位が乗っ取られる
最近増えているのが「SEOスパム」と呼ばれる手口です。ハッキングされたサイトの内部に、大量のスパムページ(違法な医薬品販売ページ、ギャンブルサイトへのリダイレクトなど)が密かに設置されます。サイトの外見は変わらないため、管理者が気づくまでに数ヶ月かかることもあります。
この手口の厄介な点は、自社サイトのドメイン評価(ドメインパワー)が悪用されることです。自社のドメインで大量のスパムページがインデックスされると、Googleからペナルティを受け、正規のページまで検索順位が下落します。長年かけて積み上げたSEO評価が一瞬で崩壊する、最も損害の大きい被害パターンです。
フィッシングページの設置で犯罪の踏み台にされる
銀行やクレジットカード会社のログインページを模倣したフィッシングページが、ハッキングされたWordPressサイト内に設置されるケースがあります。攻撃者はこのページのURLを含むフィッシングメールを大量に送信し、受信者のログイン情報やカード情報を盗みます。
この場合、自社のドメインがフィッシング詐欺に利用されることになります。警察やセキュリティ機関から連絡が来て初めて気づくというケースも少なくありません。自社のドメインがフィッシングに使われた事実は、ブランドイメージに深刻なダメージを与えます。最悪の場合、ドメイン自体がブラックリストに登録され、メール配信にも影響が出ます。
個人情報漏洩で法的責任を問われる
問い合わせフォームや会員登録機能を持つWordPressサイトがハッキングされると、顧客の個人情報が漏洩するリスクがあります。氏名、メールアドレス、電話番号、住所。ECサイトであればクレジットカード情報が流出する可能性もあります。
個人情報保護法では、個人データの漏洩が発生した場合、個人情報保護委員会への報告と本人への通知が義務付けられています。報告義務を怠れば罰則の対象になります。さらに、被害者からの損害賠償請求に発展するリスクもあります。「WordPressの管理を怠っていた」という過失が認められれば、損害賠償額は膨大になりかねません。
ハッキングされたWordPressを復旧する手順
ハッキングが発覚した場合、パニックにならず、以下の手順で対応します。重要なのは「表面だけ直して終わり」にしないことです。バックドアが残っていれば再び侵入されるため、徹底的なクリーンアップが必要です。
まずサイトをメンテナンスモードにして被害拡大を止める
ハッキングが確認された時点で、最優先すべきはサイトの公開停止です。マルウェアが埋め込まれている場合、サイトを公開し続ける限り訪問者への被害が拡大します。レンタルサーバーの管理画面からサイトを一時停止するか、メンテナンスモードに切り替えます。
同時に、サーバーのFTP・SSH・データベースのパスワードをすべて変更します。攻撃者がパスワードを入手している可能性があるため、現在のパスワードのまま復旧作業を進めても意味がありません。WordPress管理画面のログインパスワードも当然変更が必要です。
感染ファイルを特定して不正コードを除去する
次に、サーバー上のファイルをスキャンして、改ざんされたファイルや不正に追加されたファイルを特定します。WordPressのコアファイル、テーマファイル、プラグインファイルのそれぞれについて、公式の正規ファイルと比較して差分を確認します。
手動でのスキャンは現実的ではないため、Wordfence SecurityやSucuri Securityなどのセキュリティプラグインを使用します。ただし、プラグイン自体が改ざんされている可能性もあるため、最も確実な方法はWordPressのコアファイルとプラグインを公式サイトから再ダウンロードして上書きすることです。
- wp-includes、wp-adminディレクトリを公式版で上書き
- wp-config.phpの内容を確認し、不審なコードがないかチェック
- 使用していないテーマ・プラグインを完全に削除
- uploadsディレクトリ内のPHPファイルを確認(通常は画像のみのはず)
- データベース内の不正なユーザーアカウントを削除
- .htaccessファイルの内容を確認し、不正なリダイレクトがないか確認
バックドアを見つけて完全に除去する
攻撃者は再侵入のためのバックドアを複数の場所に仕掛けていることが一般的です。よくある手口として、正規のファイルに見せかけた名前(wp-config-backup.php、class-wp-cache.phpなど)で不正なPHPファイルを設置するパターンがあります。
バックドアの特定には、ファイルの更新日時を手がかりにするのが有効です。ハッキングが発生したと思われる時期以降に更新されたファイルを洗い出し、一つずつ内容を確認します。base64_decode、eval、gzinflateといった関数が含まれるファイルは、不正コードが埋め込まれている可能性が高いです。
この作業は専門知識が必要なため、自社対応が難しい場合はセキュリティ専門業者に依頼するのが現実的です。(中途半端にクリーンアップして「直った」と思い込むのが最も危険なパターンです。バックドアが1つでも残っていれば、数日後に再び侵入されます)
クリーンな状態に復旧したらGoogleに再審査を申請する
サイトの復旧が完了したら、Google Search Consoleから「セキュリティの問題」を確認し、「審査をリクエスト」を実行します。Googleのセーフブラウジングで警告が表示されている場合、この再審査を経なければ警告は解除されません。
再審査では、どのような不正があり、どのように対処したかを具体的に記載する必要があります。「マルウェアを除去しました」だけでは不十分で、「感染経路を特定し、脆弱なプラグインを削除、全ファイルのスキャンとクリーンアップを完了、パスワードを全変更、WAFを導入」といった具体的な対策内容を報告します。審査には通常72時間程度かかりますが、対策が不十分と判断されると再度却下されることもあります。
復旧費用の相場は10万〜30万円が目安
WordPressのハッキング復旧を専門業者に依頼する場合、費用の相場は以下のとおりです。
| 作業内容 | 費用相場 |
|---|---|
| マルウェア除去・クリーンアップ | 5万〜15万円 |
| バックドア調査・完全除去 | 3万〜10万円 |
| セキュリティ強化設定 | 3万〜5万円 |
| Google再審査対応 | 1万〜3万円 |
| トータル(軽度の被害) | 10万〜15万円 |
| トータル(重度の被害) | 20万〜30万円 |
被害の規模によって費用は大きく変動します。単純な改ざんであれば10万円前後で復旧できるケースもありますが、大量のスパムページが生成されていたり、データベースまで汚染されていたりすると20万〜30万円に達することもあります。ECサイトで個人情報漏洩が発生した場合は、復旧費用に加えて、顧客への通知費用、法的対応費用、損害賠償まで含めると数百万円規模になることも珍しくありません。
復旧費用だけではなく、サイトがダウンしている間の売上損失、ブランドイメージの毀損、SEO順位の下落による中長期的な集客減少も考慮すべきです。復旧費用の10万〜30万円は「目に見える費用」に過ぎず、実際の損害はその数倍に及ぶことが大半です。
ハッキングを防ぐために今すぐ実施すべきセキュリティ対策
ハッキングの被害は甚大ですが、基本的なセキュリティ対策を講じていれば大半の攻撃は防げます。攻撃者は「対策の甘いサイト」から順に侵入するため、基本をしっかり押さえるだけで標的から外れる確率が大幅に上がります。
WordPress本体・プラグイン・テーマを常に最新に保つ
ハッキングの最大の侵入経路は、WordPress本体やプラグイン・テーマの脆弱性です。サーバー側のPHPバージョンが古いと脆弱性がさらに積み上がるため、PHPのバージョンアップ通知を無視するとサイトが動かなくなる理由も必ず確認してください。開発元はセキュリティ上の欠陥が見つかるとアップデートを公開しますが、このアップデートを適用しない限り、サイトは脆弱なままです。Wordfence社の調査によると、WordPressサイトへの攻撃の大半はプラグインの脆弱性を悪用したものであると報告されています(出典 Wordfence 2021 State of WordPress Security Report)。
更新作業はWordPressの管理画面から数クリックで完了しますが、問題は「更新したらサイトが崩れるかもしれない」という不安から放置してしまうことです。この不安は正当なもので、プラグインの更新でレイアウトが崩れたり、機能が動かなくなったりするケースは実際にあります。だからこそ、更新前にバックアップを取り、テスト環境で動作確認をしてから本番に適用する体制が必要です。
管理画面のログインURLを変更し、二段階認証を導入する
WordPressの管理画面には、初期設定では「/wp-admin」「/wp-login.php」というURLでアクセスできます。攻撃者はこのURLに対してブルートフォース攻撃(パスワードを総当たりで試す攻撃)を仕掛けてきます。ログインURLをデフォルトから変更するだけで、ボットによる自動攻撃の大半を回避できます。
ログインURL変更に加えて、二段階認証(2FA)の導入を強く推奨します。パスワードが万が一漏洩しても、二段階認証があれば不正ログインを防げます。Google Authenticatorなどのアプリを使えば無料で導入可能です。
- ログインURL変更プラグイン(WPS Hide Login、SiteGuard WP Pluginなど)を導入
- 二段階認証プラグイン(Wordfence Login Security、Two Factor Authenticationなど)を導入
- 管理者アカウントのユーザー名を「admin」から変更
- ログイン試行回数を制限(5回失敗で30分ロックなど)
- パスワードは16文字以上、英数字記号混在を必須にする
使っていないプラグイン・テーマは無効化ではなく削除する
「無効化」と「削除」はまったく別物です。無効化しただけのプラグインやテーマは、ファイルがサーバー上に残っています。そのファイルに脆弱性があれば、無効化していても攻撃者はその脆弱性を悪用できます。
使っていないプラグインとテーマは完全に削除してください。WordPressの初期インストール時に含まれるデフォルトテーマ(Twenty Twenty-Fourなど)も、使用していなければ削除対象です。サーバー上に存在するファイルは少なければ少ないほど、攻撃対象の面積が小さくなります。プラグインを整理する手順はWordPressプラグインを入れすぎるとサイトが重くなるメカニズムで詳述しています。
定期的なバックアップ体制を構築する
セキュリティ対策をどれだけ万全にしても、100%ハッキングを防げる保証はありません。万が一侵入された場合に備えて、定期的なバックアップを取得しておくことが最後の砦になります。
バックアップは「サーバー上」と「外部ストレージ」の両方に保存するのが鉄則です。サーバー上のバックアップだけでは、サーバー自体が侵害された場合にバックアップも汚染される可能性があります。Google Drive、Dropbox、Amazon S3など、サーバーとは別の場所にバックアップを自動転送する設定にしておきましょう。
バックアップの頻度は、サイトの更新頻度に応じて設定します。毎日更新するサイトなら日次バックアップ、週に1〜2回の更新なら週次バックアップが目安です。バックアップデータは最低でも過去30日分は保持しておくのが安全です。(ハッキングに気づくまでに時間がかかった場合、直近のバックアップがすでに汚染済みということがあるため、過去に遡れることが重要です)
WAFとセキュリティプラグインで多層防御を実現する
WAF(Web Application Firewall)は、Webサイトへの不正なアクセスをリアルタイムで検知・遮断する仕組みです。SQLインジェクション、クロスサイトスクリプティング(XSS)、ブルートフォース攻撃など、一般的な攻撃パターンを自動的にブロックします。
レンタルサーバー各社が提供するWAF機能を有効にするのが最も手軽な方法です。エックスサーバー、さくらのレンタルサーバー、ConoHa WINGなど、主要なレンタルサーバーにはWAF機能が標準で搭載されています。無料で利用できるため、有効にしない理由がありません。
WAFに加えて、WordPress用のセキュリティプラグイン(Wordfence Security、Sucuri Security、SiteGuard WP Pluginなど)を導入することで多層防御が実現します。WAFがサーバーレベルで攻撃を遮断し、セキュリティプラグインがWordPressレベルで不正を検知する。この二重構造が、ハッキングリスクを大幅に低減します。
セキュリティ対策チェックリスト
自社のWordPressサイトのセキュリティ状態を確認するためのチェックリストです。一つでも「NO」がある場合は、早急に対応してください。
| チェック項目 | 対策内容 |
|---|---|
| WordPress本体は最新バージョンか | 管理画面の「更新」から最新版に更新 |
| プラグインは全て最新版か | 不要なプラグインは削除、使用中のものは更新 |
| 使用していないテーマは削除済みか | 有効テーマ以外を完全削除 |
| 管理画面のログインURLを変更しているか | SiteGuard WP Plugin等でURL変更 |
| 二段階認証を導入しているか | Wordfence Login Security等を導入 |
| パスワードは十分に強固か | 16文字以上、英数字記号混在 |
| 定期的なバックアップを取得しているか | UpdraftPlus等で自動バックアップを設定 |
| WAFは有効になっているか | レンタルサーバーのWAF機能を有効化 |
| セキュリティプラグインを導入しているか | Wordfence SecurityまたはSucuri Security |
| PHPバージョンは最新の安定版か | サーバー管理画面からPHPバージョンを確認・更新 |
自社での対応が難しいなら運用保守を外注するのが合理的
ここまで解説してきたセキュリティ対策を、自社のスタッフだけで継続的に実施するのは簡単ではありません。WordPress本体とプラグインの更新は毎月発生しますし、更新後の動作確認、バックアップの管理、セキュリティログの監視など、やるべきことは多岐にわたります。
本業に集中すべき経営者やスタッフが、WordPressのセキュリティ対策に時間を割くのは本末転倒です。外注先の比較ポイントはWordPress保守代行サービスの選び方をご覧ください。月額数千円〜数万円の運用保守サービスに外注すれば、更新作業、バックアップ管理、セキュリティ監視、万が一の復旧対応まで一括で対応してもらえます。ハッキングされてから10万〜30万円の復旧費用を払うのと、毎月の保守費用で予防するのと、どちらが合理的かは明白です。
特に問い合わせフォームで顧客の個人情報を扱っているサイト、ECサイトで決済情報を扱っているサイトは、セキュリティ対策の優先度が極めて高いです。情報漏洩が発生してからでは取り返しがつきません。
最後に
WordPressのハッキング被害は「他人事」ではありません。セキュリティ対策が不十分なサイトは、規模の大小を問わず攻撃者の標的になります。改ざん、マルウェア感染、SEOスパム、フィッシング、個人情報漏洩。被害の種類は多岐にわたり、復旧には多大な時間と費用がかかります。
しかし、基本的な対策を確実に実施していれば、ハッキングのリスクは大幅に低減できます。WordPress本体とプラグインの更新、ログインURLの変更と二段階認証の導入、不要なプラグイン・テーマの削除、定期バックアップ、WAFとセキュリティプラグインの導入。どれも特別な技術がなくても実施可能な対策です。
自社での対応が難しい場合は、WordPress運用保守の専門業者に相談することを検討してください。ハッキングされてから対処するよりも、ハッキングされない体制を作ることに投資する方が、圧倒的にコストパフォーマンスが高いです。
