背景

A製造株式会社様は、自社製品の紹介や取引先との連絡窓口として長年WordPressサイトを運用されていました。しかし、ある日突然Googleの検索結果に「このサイトは危険です」という警告が表示されるようになり、サイトへのアクセス数が激減。取引先からも不安の声が寄せられ、早急な対応が必要な状況でした。

発生していた問題

  • Googleから「このサイトにマルウェアが含まれています」という警告
  • 検索結果でのサイト表示に警告マークが表示
  • サイト訪問者が大幅に減少(前週比で85%減)
  • 取引先からの信頼低下による問い合わせ数の激減
  • 投稿に見覚えのない海外言語の記事が多数追加
  • 管理画面にログインできない
  • サイトの一部ページが意図しない外部サイトにリダイレクト
  • データベースへのアクセス権限が剥奪され、管理画面からの編集が不可能に

実施した対策

1. 緊急診断とマルウェア特定

ご連絡をいただいてから2時間以内に緊急対応を開始。専門ツールを使用してサイト全体をスキャンし、感染範囲を特定しました。

発見されたマルウェア:

  • wp-content/uploads内に偽装された悪意あるPHPファイル
  • テーマファイル内に挿入された難読化されたJavaScriptコード
  • データベース内の投稿に埋め込まれたリダイレクトコード
  • 不正な管理者アカウント(3件)

攻撃の経緯(推測):

半年以上前のログが残っていなかったため推測となりますが、以下の経緯で攻撃が行われたと考えられます:

  1. ブルートフォース攻撃によるログイン:ユーザーIDとほぼ同じ値のパスワードが設定されていたため、総当たり攻撃により管理画面への不正ログインを許してしまった
  2. データベース情報の窃取:WordPress管理画面のプラグインエディター機能を悪用し、wp-config.phpファイルの内容を入手
  3. データベースへの直接アクセス:入手したデータベース接続情報を使用して、データベースに直接アクセス
  4. 権限の剥奪:正規の管理者アカウントから、データベースの追加編集権限を剥奪し、サイトの復旧を困難にした

2. マルウェア完全除去

すべての感染ファイルを特定後、以下の手順でクリーンアップを実施:

1. サイトを一時的にメンテナンスモードに切り替え
2. すべてのマルウェアファイルを削除
3. WordPress本体ファイルをクリーンな状態に復元
4. プラグインとテーマを最新版に更新
5. データベースから悪意あるコードを削除
6. 不正な管理者アカウントを削除

3. セキュリティ強化

再発防止のため、以下のセキュリティ対策を実施:

サーバー・データベースレベルの対策:

  • サーバー管理画面へのログインURL及びパスワード変更・強化:管理画面への不正アクセスを防止
  • FTPアカウントのパスワード変更・強化:ファイルへの不正アクセス経路を遮断
  • MySQLユーザーのパスワード変更・強化:データベースへの直接アクセスを防止
  • wp-configのパーミッションを600に変更:サーバー経由でのデータベース情報の不正アクセス経路を遮断

WordPress本体・プラグインの更新:

  • プラグインの定期的なアップデート:バックアップを取りながら慎重に実施
  • セキュリティ対策プラグインの変更:より強固なセキュリティプラグインに変更
  • 不要なテーマファイル及びプラグインを削除:セキュリティホールになりやすい未使用ファイルを削除
  • サイト全体のマルウェア・スパム調査:隠れたマルウェアがないか徹底的にチェック

WordPress設定の強化:

  • WordPress管理画面のファイル編集を無効化DISALLOW_FILE_EDITをTrueに設定し、プラグインエディター経由でのwp-config.php窃取経路を遮断
  • WordPressのセキュリティキーを更新:既存のログインユーザーのCookie情報を無効化し、不正ログインセッションを強制終了
  • WordPressのバージョンを隠す:攻撃の標的にされる可能性を減らすため、バージョン情報を非表示に
  • WordPress管理画面にBasic認証を追加:二重認証により利便性は低下するものの、セキュリティをさらに強化

実施できなかった対策(環境制限):

  • PHP8.3へのアップデート:利用しているレンタルサーバーが未提供のため実施不可
  • WordPress本体のアップデート:PHP7.4止まりのため、最新版へのアップデートは実施不可

4. Google再審査リクエスト

マルウェア除去完了後、Google Search Consoleから再審査をリクエスト。詳細なレポートとともに、実施した対策内容を報告しました。

成果

復旧時間

  • 初回対応開始:お問い合わせから2時間以内
  • マルウェア完全除去:24時間以内
  • サイト復旧完了:48時間以内
  • Google警告解除:72時間以内

具体的な改善結果

  • ✅ Googleの「危険なサイト」警告を完全に解除
  • ✅ サイトアクセス数が通常レベルに回復(2週間で回復)
  • ✅ 検索順位も徐々に回復
  • ✅ セキュリティスコアが大幅に向上
  • ✅ 3ヶ月経過後も再感染なし(継続監視中)

お客様の声

「突然の警告表示で本当に困っていましたが、WP Axisさんの迅速な対応のおかげで、最小限の被害で済みました。セキュリティ対策の重要性を痛感し、今では定期的な保守サービスも利用させていただいています。」

— A製造株式会社 Web担当者様

まとめ

WordPressサイトのマルウェア感染は、適切な対応により必ず復旧できます。しかし、重要なのは早期発見と迅速な対応です。

今回のケースでは、お客様からのご連絡をいただいてから48時間以内に完全復旧を実現。さらに、再発防止のための包括的なセキュリティ対策を実施したことで、その後3ヶ月以上にわたり安定した運用が続いています。

このような問題でお困りの方へ

  • サイトに「危険」の警告が表示されている
  • 管理画面にログインできない
  • サイトが見知らぬページにリダイレクトされる
  • サーバー会社から警告メールが届いた

24時間以内の対応が可能です。まずはお気軽にご相談ください。