WordPressに不正アクセスされたときの主な症状

不正アクセスの被害は、気づかないまま進行していることが少なくありません。以下の症状が一つでも当てはまる場合は、不正アクセスの可能性があります。

  • サイトが突然表示されなくなった、または別のサイトに転送される
  • 管理画面にログインできなくなった
  • 身に覚えのない管理者アカウントが増えている
  • Googleの検索結果に「このサイトは危険です」と表示される
  • サーバーから大量送信の警告メールが届いた
  • サイトの表示速度が急激に遅くなった

症状が出ていない場合でも、バックドア(侵入口)を仕掛けられたまま気づかないケースが多くあります。定期的な確認が重要です。

不正アクセスを確認する5つの方法

① 管理画面のユーザー一覧を確認する

WordPress管理画面 → ユーザー → 一覧を開き、身に覚えのないアカウントが追加されていないか確認してください。特に「管理者」権限のアカウントが増えている場合は、不正アクセスの可能性が高いです。

② ログインログを確認する

通常のWordPressにはログイン履歴の表示機能がありません。「WP Security Audit Log」などのプラグインを導入することで、いつ・どのIPアドレスからログインされたかを確認できます。

すでに不審なログインがあった後であれば、サーバーのアクセスログを確認するのが確実です。サーバーの管理画面からアクセスログをダウンロードし、見慣れない海外IPからのアクセスがないか調べてください。

③ ファイルの更新日時を確認する

FTPソフトでサーバーに接続し、WordPressのコアファイルやテーマ・プラグインのファイル更新日時を確認します。身に覚えのない日時にファイルが更新されていた場合、マルウェアが仕込まれている可能性があります。

特に以下のファイルは改ざんされやすいので注意してください。

  • wp-config.php
  • .htaccess
  • functions.php(テーマファイル内)

④ Googleサーチコンソールで警告を確認する

Google Search Console → セキュリティの問題 を開き、警告が出ていないか確認してください。Googleがマルウェアやフィッシングを検知している場合はここに表示されます。

⑤ セキュリティプラグインでスキャンする

「Wordfence Security」などのプラグインをインストールしてスキャンを実行すると、改ざんされたファイルや不審なコードを検出できます。ただし、すでに高度なマルウェアが仕込まれている場合はプラグインでも検出できないことがあります。

不正アクセスが判明したときの初動対応

不正アクセスが確認できた場合、まず以下の順番で対応してください。

1. サイトをメンテナンスモードにする

被害の拡大と訪問者への二次被害を防ぐため、すぐにサイトをメンテナンスモードに切り替えてください。

2. すべてのパスワードを変更する

WordPress管理者パスワード、サーバーのFTPパスワード、データベースパスワードをすべて変更してください。同じパスワードを使い回している他のサービスも合わせて変更することをお勧めします。

3. バックアップを取る(改ざんされた状態のまま)

「改ざんされた状態のバックアップなど不要では?」と思われるかもしれませんが、調査の証拠として残しておくことが重要です。復旧後に侵入経路を特定するために使用します。

4. 身に覚えのないユーザーを削除する

管理画面から不審なアカウントを削除してください。ただしこれだけでは根本解決になりません。

自分で対応できる限界と、プロに依頼すべき状況

上記の確認・初動対応はご自身でも可能ですが、以下の状況になった場合は専門家への依頼をお勧めします。

  • マルウェアの場所は特定できたが、削除方法がわからない
  • ファイルを削除したのに症状が再発する
  • サーバーのログを見ても侵入経路がわからない
  • サイトを復旧したいが、クリーンなバックアップがない
  • 対応している時間がない、事業への影響が大きい

マルウェアは単純にファイルを削除するだけでは再発します。バックドアが残っている限り、同じ手口で何度でも侵入されます。侵入経路を特定して塞ぐことが、根本的な解決に必要です。

よくあるご質問

Q. セキュリティプラグインを入れていたのに不正アクセスされました。なぜですか?

セキュリティプラグインはあくまで補助的なツールです。既知の脆弱性への対応や一般的な攻撃のブロックには効果がありますが、ゼロデイ攻撃や巧妙に偽装されたマルウェアには対応できないことがあります。実際に当社にご相談いただいたケースでも、セキュリティプラグイン導入済みにもかかわらず被害に遭った事例が複数あります。

Q. 不正アクセスされたことを顧客や取引先に報告する必要はありますか?

個人情報が漏洩した可能性がある場合は、個人情報保護法に基づき報告義務が生じる場合があります。まず被害範囲を確認したうえで、必要に応じて専門家や弁護士にご相談ください。

Q. 復旧にはどのくらいの時間がかかりますか?

被害の規模によります。軽度の改ざんであれば数時間で対応可能ですが、データベースへの侵入や大規模なファイル改ざんの場合は数日かかることもあります。まずは無料相談でご状況をお聞かせください。

まとめ・ご相談はこちら

WordPressへの不正アクセスは、気づいたときには被害が拡大していることが少なくありません。症状が軽微に見えても、バックドアが仕掛けられたまま放置されているケースが多くあります。

「もしかして不正アクセスされているかも」と少しでも不安を感じたら、まずはお気軽にご相談ください。業界経験20年のWordPress専門エンジニアが、最短30分で調査を開始します。

お急ぎの場合は電話でご相談ください050-1724-5119受付時間 9:00-18:00 [ 土・日・祝日除く ]

今すぐ相談する【24時間受付】

カテゴリー
コラム
前の記事
WordPress真っ白(ホワイトスクリーン)の原因と対処法New!!
2026年5月7日
次の記事
WordPress乗っ取り復旧業者の選び方|失敗しないための5つのチェックポイントNew!!
2026年5月13日