WordPressの改ざんは、発見そのものよりも発見直後の30分をどう過ごすかで、その後の数日から数週間が決まります。焦ってファイルを消す、見た目だけ直す、通知を後回しにする。この種の誤対応は、復旧不能、証拠隠滅、SEO評価の長期毀損、さらに個人データ漏えいの確認や報告判断の長期化につながりかねません。
このページは「何をすべきか」を順番に説明する記事ではありません。目的は一つで、改ざん発覚時に絶対にやってはいけないことだけを先に頭に入れることです。初動の正しい手順は初動対応チェックリストを、外部へ依頼するときの整理は復旧依頼テンプレートを併用してください。
カテゴリ別NG集
まずは一覧で全体像を押さえてください。緊急時は、正解を探すより先に危険な行動を踏まないことが重要です。
A. 証拠保全フェーズでのNG
| 重要度 | NG行動 | なぜダメか | 代わりにすべきこと |
|---|---|---|---|
| 🔴重大 | サーバー側ファイルを上書き・削除する前にバックアップを取らない | 侵入経路、改ざん範囲、再発要因の確認材料が消えます。復元に失敗したときの退避先も失います。 | まず現状のファイルとDBを丸ごと退避し、感染状態でも証跡として保存します。 |
| 🔴重大 | 「とりあえず元に戻したい」とFTPで一括削除する | 攻撃者が追加したファイルと正規ファイルの区別がつかないまま消すと、サイト破損と証拠消失が同時に起きます。 | 削除前に差分確認し、隔離用ディレクトリへ退避してから調査します。 |
| 🔴重大 | access log / error log などの改ざんログを消す | 侵入時刻、攻撃元、横展開の有無を追えなくなります。社内説明や再発防止の根拠も消えます。 | ログは削除せず保全し、必要なら別場所へコピーして共有します。 |
| 🔴重大 | 不審ファイルを見つけた瞬間に即削除する | そのファイル単体が原因とは限りません。関連ファイル名、呼び出し元、再生成の仕組みを見失います。 | ファイル名、パス、更新日時、内容を記録し、退避してから相関を見ます。 |
| 🟡中程度 | 改ざんページのスクリーンショット保存をしない | 後から症状説明が曖昧になり、業者・サーバー会社・社内報告で認識がずれます。 | PCとスマホで画面、URL、時刻が分かる形で保存します。 |
B. 初動対応フェーズでのNG
| 重要度 | NG行動 | なぜダメか | 代わりにすべきこと |
|---|---|---|---|
| 🔴重大 | WordPress再インストールでファイルを上書きするだけで「直った」と判断する | wp-admin や wp-includes を入れ直しても、wp-content、DB、.htaccess、wp-config.php、不正ユーザー、漏えい済み認証情報は残りえます。 |
見た目の復旧後も、侵入経路・不審ユーザー・重要ファイル・DB・認証情報を横断確認します。 |
| 🔴重大 | 不審な管理者ユーザーだけ削除して安心する | 管理者追加は結果の一部にすぎず、バックドアや別経路のアクセスが残っていると再作成されます。 | ユーザー削除と同時に、ファイル、DB、cron、認証情報、秘密鍵の更新まで進めます。 |
| 🔴重大 | パスワードを変更せずに復旧作業を進める | すでに漏えいした認証情報で、清掃中にも再侵入されるおそれがあります。 | WordPress、FTP/SFTP、サーバーパネル、DB、関連メールの全アクセス点を変更します。 |
| 🔴重大 | 同一サーバー内の他サイトを確認しない | 共有サーバーや同居環境では、別サイトが侵入口または再感染源になっていることがあります。 | 同居サイトの異常、更新停止、古いCMS、同一アカウント共有状況を確認します。 |
| 🟡中程度 | 「気づかれていなければ良い」とSearch Consoleの警告を無視する | GoogleはSecurity Issues reportを基準に評価し、警告放置はインデックス・警告表示の長期化を招きます。 | Security Issues reportを確認し、全体修正後にレビュー申請まで行います。 |
C. 業者・社内連携フェーズでのNG
| 重要度 | NG行動 | なぜダメか | 代わりにすべきこと |
|---|---|---|---|
| 🔴重大 | 業者依頼メールにパスワードを平文で書く | メール転送、誤送信、共有受信箱、退職者アーカイブ経由で認証情報が二次流出しやすくなります。 | 依頼文にはID種別だけを書き、認証情報は別経路または一時発行で渡します。 |
| 🔴重大 | 経営層に報告せず担当者だけで処理しようとする | 事業影響、顧客対応、法務判断、広報判断が遅れ、技術問題が経営問題に拡大します。 | 事実ベースで第一報を上げ、判断が必要な論点だけ早めに共有します。 |
| 🔴重大 | 顧客への通知判断を先延ばしにする | 個人データ漏えいのおそれがあるのに保留し続けると、後から説明責任と信頼毀損が重くなります。 | まず「漏えいの可能性があるか」を切り分け、必要なら法務・専門家へ即相談します。 |
| 🟡中程度 | 「無料で全部見て見積もって」という依頼を複数業者に投げる | URL、構成、障害状況、アクセス手段が広く共有され、情報拡散リスクが高まります。 | 候補を絞り、共有範囲を最小化し、必要情報だけ段階的に出します。 |
D. 公開・SEO対応フェーズでのNG
| 重要度 | NG行動 | なぜダメか | 代わりにすべきこと |
|---|---|---|---|
| 🔴重大 | 復旧前に Search Console のURL削除リクエストを乱発する | Removals toolは一時的な非表示であり、問題そのものは消えません。Googleはクロールを続けるため、直っていないURLは再び出ます。検索結果に出ているURLと一致していない削除依頼も外しやすいです。 | まず感染源を除去し、恒久的に消すURLは404/410や保護設定を返したうえで必要最小限だけ使います。 |
| 🔴重大 | 不審ページを一つずつ手動削除して終わらせる | サンプルURL以外にも同種ページが残ることが多く、生成ロジックが生きていれば再作成されます。 | site: 検索、Search Console例示URL、サーバー内検索を併用し、生成元を断ちます。 |
| 🔴重大 | Google Safe Browsing 警告画面を無視してアクセス継続を促す | 利用者被害を広げ、社内外の説明責任が重くなります。警告を知りながら放置した評価も避けられません。 | まず危険性を認識し、修正後にSecurity Issues reportからレビュー申請します。 |
E. 再発防止フェーズでのNG
| 重要度 | NG行動 | なぜダメか | 代わりにすべきこと |
|---|---|---|---|
| 🔴重大 | 復旧後にパスワード強度を弱いまま戻す | 応急対応で強化しても、後で元に戻すと同じ入口を再び開けます。 | 長く一意なパスワードへ統一し、可能なら2要素認証も導入します。 |
| 🔴重大 | nulled プラグインや無料配布の有料テーマを残す | 悪性コード混入や更新停止の温床になり、再侵入の典型原因です。 | 出所不明の有償テーマ・プラグインは撤去し、正規配布元へ置き換えます。 |
| 🔴重大 | 再発防止策を取らずに「もう大丈夫」とする | 一度侵害された環境は、見えていない脆弱性や運用欠陥が残っている可能性が高いです。 | 復旧後に更新方針、監視、バックアップ、権限管理を見直します。 |
特に致命的な3つのNG
一覧の中でも、現場で被害を長引かせやすいものを3つに絞って深掘りします。
1. 再インストール上書きだけで安心する
WordPress改ざんで最も多い誤解の一つが、「本体を入れ直したから安全になったはず」という判断です。確かに、wp-admin や wp-includes の汚染だけなら一定の改善につながることがあります。しかし、実際の侵害では次のような場所が同時に触られていることが珍しくありません。
| 残りやすい場所 | 起きること |
|---|---|
wp-content 配下 |
テーマ、プラグイン、mu-plugins、uploads内に不正PHPや再生成コードが残る |
.htaccess |
リダイレクトや実行制御が残る |
wp-config.php |
外部読込、秘密鍵未更新、認証情報流出後の再侵入余地が残る |
| DB | 不正ユーザー、改ざんオプション、スパムページ、埋め込みコードが残る |
| 認証情報 | すでに漏えい済みなら、清掃後も同じ資格情報で再侵入される |
つまり、見た目が直っただけでは「見えなくなった」だけで「なくなった」とは限らないということです。WordPress.org の hacked site FAQ でも、重要ファイルの確認、全アクセス点の見直し、秘密鍵更新、侵入後のフォレンジックが必要とされています。
もし上書き後に正常表示へ戻っても、そこで作業を止めずに、障害復旧サービスのような深掘り調査を含む対応へ切り替えるべきケースがあります。少なくとも、同居サイト、ユーザー権限、ログ、DB、アクセス資格情報までは確認対象に入れてください。
2. Search Console通知を無視する
Search Consoleの警告は、単なる「SEOの注意」ではありません。GoogleのSecurity Issues reportは、ハッキング、マルウェア、ソーシャルエンジニアリングなど、利用者被害につながる問題を扱うレポートです。ここを放置すると、検索結果での警告表示やブラウザの警告が長引きやすくなります。
特に危険なのは、例示URLが数件しか出ていないからといって、被害もその数件だけだと誤解することです。Googleの説明でも、表示されるURLはサンプルであり、全件ではないとされています。例示ページだけ消して終わると、同種ページや別URL版が残る可能性があります。
やるべき順序は明確です。
- Security Issues report を確認する
- 例示URLだけでなく、サイト全体の同種問題を除去する
- 再発要因を塞ぐ
- 修正内容を整理してレビュー申請する
レビュー申請は、何を直したか、どう再発防止したかが説明できる状態で行う必要があります。直っていない段階で何度も申請すると、かえって長引きます。SEO担当だけの問題ではなく、インシデント対応の一部として扱ってください。実作業はSafe Browsing警告解除の記事やSEOスパム復旧の記事と合わせて進めるのが安全です。
3. パスワード平文での業者依頼
緊急時は「早く見てもらうために全部メールで送る」が起きがちですが、これは改ざん後に追加事故を作る典型例です。WordPress管理画面、サーバーパネル、FTP/SFTP、DB、関連メールの認証情報を1通のメールに平文で並べると、次のような経路で広がります。
| 広がる経路 | 起きる問題 |
|---|---|
| 社内共有受信箱 | 必要のない人まで見られる |
| メール自動転送 | 外部委託先や旧担当者へ残る |
| 誤送信・返信先ミス | 第三者流出になる |
| 受信ボックスの長期保存 | 後日別件で掘り起こされる |
しかも、改ざん直後は「どの資格情報がまだ安全か」が確定していません。だからこそ、共有手段まで含めて最小権限で扱うべきです。
実務では、次の形が安全です。
| 推奨 | 理由 |
|---|---|
| 依頼文にはアクセス種別だけ書く | 何が必要か整理しつつ、平文流出を防げる |
| 共有は別経路に分ける | メール本文だけで侵入できない状態を作れる |
| 一時パスワードを発行する | 作業後に確実に無効化しやすい |
| 権限を絞る | 不要な全権付与を避けられる |
業者への最初の連絡は、認証情報の羅列ではなく、症状・発生時刻・直前変更・実施済み対応を整理した文章にすべきです。文面は復旧依頼テンプレートを使うと安全にまとめやすくなります。
法的リスク:個人情報保護法・関連通知義務の注意
改ざんやマルウェア感染が起きた場合、問題はサイト復旧だけで終わらないことがあります。会員情報、問い合わせ情報、決済関連情報などの個人データが閲覧・持ち出し・不正利用された可能性があるなら、個人情報保護法上の報告や本人通知の要否を確認すべき場面があります。
個人情報保護委員会は、一定の事態に該当する場合、委員会への報告と本人への通知が必要になると案内しています。たとえば、不正の目的をもって行われたおそれがある漏えい等、財産的被害のおそれがある事態、1,000人を超える漏えい等などは確認対象です。
ここで重要なのは、「改ざんされた = 必ず報告義務がある」と短絡しないことと、「改ざんだから技術担当だけで閉じる」とも考えないことです。法的評価は、どの情報が、どの程度、どの可能性で影響を受けたかで変わります。
次のような場合は、社内法務、顧問弁護士、個人情報保護法に明るい専門家へ早めに相談してください。
| 相談を急ぐべきケース | 理由 |
|---|---|
| 会員情報、問い合わせ情報、注文情報を扱う | 個人データ該当性の検討が必要になりやすい |
| 不正ログイン、管理画面乗っ取りの疑いがある | 閲覧・持ち出し可能性の確認が必要です |
| 決済関連、請求関連の情報を扱う | 財産的被害のおそれの検討が必要です |
| 影響件数が多い、把握しきれない | 通知・公表・報告の判断が重くなります |
判断に迷う段階でも、「該当しないだろう」と決め打ちして放置しないでください。まず事実を固定し、技術調査と並行して相談経路を立てることが安全です。
NG事例から学ぶ「やるべきこと」逆引きインデックス
迷ったとき用に、NG行動と代替行動だけを表で引けるように整理します。
| NG行動 | 代わりにすべきこと |
|---|---|
| バックアップなしで触る | 現状のファイルとDBを丸ごと退避する |
| FTPで一括削除する | 差分確認し、削除ではなく一度隔離する |
| ログを消す | access log / error log を保全する |
| 不審ファイルを即削除する | パス、内容、更新日時を記録して退避する |
| 画面保存をしない | スクリーンショットと時刻記録を残す |
| 再インストールだけで終える | 重要ファイル、DB、認証情報、同居サイトまで確認する |
| 不審ユーザー削除だけで安心する | 侵入経路と再生成要因を潰す |
| パスワードを変えない | 全アクセス点の認証情報を更新する |
| 他サイトを見ない | 同一サーバー・同一アカウントの横展開を調べる |
| Search Consoleを放置する | Security Issues report を確認し、修正後にレビュー申請する |
| 平文で認証情報を送る | 別経路・一時発行・最小権限で共有する |
| 担当者だけで抱える | 経営、法務、広報に第一報を上げる |
| 通知判断を後回しにする | 漏えい可能性の有無を早期に切り分ける |
| 複数業者へ情報をばらまく | 候補を絞って段階的に共有する |
| URL削除を乱発する | 原因除去と恒久削除条件を先に整える |
| 不審ページだけ消す | 生成元と全体影響を確認する |
| Safe Browsing警告を無視する | 利用者保護を優先し、修正とレビュー申請を進める |
| 弱いパスワードへ戻す | 強い一意の資格情報へ統一する |
| nulled製品を残す | 正規配布物へ置き換える |
| 再発防止を省く | 更新、監視、バックアップ、権限設計を見直す |
あわせて読むべき内部資料もまとめます。
| 用途 | 関連記事 |
|---|---|
| 初動を順番で確認したい | 初動チェックリスト |
| 外部へ安全に依頼したい | 復旧依頼テンプレート |
| 勝手に別サイトへ飛ぶ | リダイレクトハック復旧 |
| 日本語スパムURLが増えた | SEOスパム復旧 |
| 警告画面を解除したい | Safe Browsing警告解除 |
改ざんの可能性を早めに外から見たい場合は、無料セキュリティ診断で初期確認の材料を揃える方法もあります。すでに事業影響が出ているなら、初動で迷う時間を減らすために障害復旧サービスを使う判断も現実的です。
ブックマーク・社内共有の使い方
このページは、読み物として最後まで読むよりも、改ざん発覚時に最初に開いて「やってはいけない操作」を止めるための資産として使う想定です。理想は、初動対応チェックリストとセットでブックマークしておくことです。
社内では、次の使い方が有効です。
| 使い方 | 効果 |
|---|---|
| インシデント対応マニュアルへ組み込む | 担当者ごとの判断ぶれを減らせます |
| 制作会社・保守会社との共通資料にする | 緊急時の認識合わせが速くなります |
| 広報・CS・法務にも共有する | 技術以外の初動連携がしやすくなります |
| 定例の運用見直しで読み返す | 再発防止策の抜け漏れを見つけやすくなります |
改ざん時は、正しいことを全部思い出せなくても、危険なことを避けるだけで被害はかなり抑えられます。そのための保存版として使ってください。
参考情報(公式・一次情報)
- WordPress.org: FAQ My site was hacked
https://wordpress.org/documentation/article/faq-my-site-was-hacked/ - Google Search Console Help: Security issues report
https://support.google.com/webmasters/answer/9044101 - Google Search Console Help: Reconsideration requests
https://support.google.com/webmasters/answer/35843 - Google Search Console Help: Removals and SafeSearch reports tool
https://support.google.com/webmasters/answer/9689846 - Google Search Console Help: What URL should I use for removal requests?
https://support.google.com/webmasters/answer/63758 - 個人情報保護委員会: 漏えい等の対応とお役立ち資料
https://www.ppc.go.jp/personalinfo/legal/leakAction/ - 個人情報保護委員会: 漏えい等報告・本人への通知の義務化について
https://www.ppc.go.jp/news/kaiseihou_feature/roueitouhoukoku_gimuka/
※本記事は2026年4月27日時点で確認できる公開情報に基づいています。Search Consoleや各種管理画面の表示名・導線は変更されることがあるため、実作業時は必ず最新の公式画面を確認してください。
