Column

WordPress, セキュリティ, 保守サービス

更新日December 4, 2025

公開日December 4, 2025

• 
• 

WordPress 改ざんの手口と対策｜被害を防ぐ7つの方法

「自社の WordPressサイト、本当に安全だろうか」—そんな不安を抱えていませんか。近年、中小企業の Web サイトを狙った改ざん被害が急増しており、WordPress 運営者にとってセキュリティ対策は避けて通れない課題となっています。

改ざん被害は単なるサイト復旧だけでなく、企業の信頼失墜や顧客離れといった深刻な損失をもたらします。しかし、適切な知識と対策があれば、リスクを大幅に軽減することが可能です。

本記事では、WordPress 改ざんの具体的な手口から被害確認方法、技術知識がなくても実践できる7つの対策まで、実務に直結する情報を網羅的にお伝えします。記事を読み終える頃には、改ざんに対する漠然とした不安が解消され、いざという時の対応についても明確なイメージを持っていただけるでしょう。

WordPress 改ざん被害の現状と企業への影響

WordPress 改ざん被害は年々巧妙化しており、特に中小企業での被害が深刻化しています。攻撃者は技術的な脆弱性だけでなく、人的要因や運用面の隙を狙った多角的なアプローチを取るため、従来の対策だけでは防ぎきれないケースが増加しています。

2024年の中小企業被害統計

2024年のサイバー攻撃被害は依然として高水準で推移しており、特に中小企業での WordPress 改ざん被害が深刻化しています。警察庁の発表によると、2024年の中小企業のランサムウェア被害件数は37％増加し、WordPress サイトも標的となっています。

中小企業が狙われる背景には、大企業と比べてセキュリティ投資が限定的で、専門人材も不足していることが挙げられます。攻撃者はセキュリティの手薄な中小企業を足がかりに、より大きな企業への攻撃を準備するケースも確認されています。

参考資料：令和６年におけるサイバー空間をめぐる脅威の情勢等について（警察庁）

改ざんが企業に与える具体的な損失

WordPress 改ざん被害による企業の平均損失額は中小企業で約150万円に上ります。復旧費用だけでなく、ブランド信頼失墜、SEO順位下落、顧客離れなどの間接的損失が大きく、完全復旧まで平均2〜3ヶ月を要します。

特に深刻なのは信頼失墜による長期的な影響です。一度改ざんされたサイトは検索エンジンからの評価が下がり、元の順位に戻るまで半年以上かかることも珍しくありません。顧客からの信頼回復には更に時間を要し、売上への影響が1年以上続くケースも報告されています。

このような損失を防ぐためには、自社内での対応を強固にするのはもちろんのこと、必要に応じて速やかに専門業者へ調査・対応依頼を検討すべきです。

WordPress 改ざんの主な手口を理解しよう

改ざん攻撃を防ぐためには、まず攻撃者がどのような手口を使うのかを理解することが重要です。近年の攻撃は単純な手法ではなく、複数の脆弱性を組み合わせた高度な手口が主流となっています。

古いプラグイン・テーマの脆弱性を狙った攻撃

Wordfence の2023年セキュリティレポートによると、WordPress で報告された脆弱性のうちクロスサイトスクリプティング（XSS）が1,963件と最多で、次にクロスサイトリクエストフォージェリが1,098件となっています。更新が停止されたプラグインや古いテーマが標的となりやすい状況です。

攻撃者は脆弱性データベースを監視し、新しい脆弱性が公表されると即座に自動化された攻撃を開始します。特に人気の高いプラグインで脆弱性が発見された場合、数時間以内に大規模な攻撃が始まることもあります。更新を怠っているサイトは格好の標的となってしまいます。

参考資料： Wordfence 2023 State of WordPress Security Report（PDF / Wordfence）
参考資料： Wordfence脅威統計データ（Wordfence）

弱いパスワードを狙うブルートフォース攻撃

「admin」「password」「123456」などの単純なパスワードを狙った総当たり攻撃が依然として多発しています。1日に数千回のログイン試行を行い、WordPress の初期設定ユーザー名「admin」が標的になりやすい特徴があります。

現代のブルートフォース攻撃は、単純な辞書攻撃から進化し、企業名や業界特有の用語を組み込んだ推測攻撃も増加しています。また、複数のIPアドレスから分散的に攻撃することで、検知を回避する手法も一般的になっています。

悪意のあるファイルアップロードによる侵入

Contact Form や File Manager などのプラグインの脆弱性を利用して、悪意のある PHP ファイルをアップロードする攻撃が増加しています。一度侵入されると管理者権限を奪取され、サイト全体をコントロールされるリスクがあります。

攻撃者は正規のファイル形式を装いながら、実際には悪意のあるコードを含むファイルをアップロードします。画像ファイルの中に PHP コードを埋め込んだり、ファイル名を偽装したりする手法が確認されています。

管理者なりすましによる内部操作

フィッシングメールやマルウェアで管理者のログイン情報を盗み取り、正規ユーザーになりすましてサイト内部から改ざんを行う手法が巧妙化しています。外部からの攻撃と異なり発見が困難で、被害が長期化しやすい特徴があります。

最近では、ChatGPT などの AI を悪用して、より自然で説得力のあるフィッシングメールを作成する事例も報告されています。従来の定型的なフィッシングメールと異なり、個人や企業の情報を元にカスタマイズされた内容のため、見破ることが困難になっています。

あなたのサイトは大丈夫？ 改ざんチェック方法

改ざん被害を最小限に抑えるためには、早期発見が重要です。定期的なチェックを行い、異常を素早く察知できる体制を整えましょう。

改ざんされた時に現れる症状一覧

サイトの表示速度低下、不審なリダイレクト、見覚えのないページ追加、Google からの警告メッセージなどが主な症状です。管理画面への不正ログイン履歴や、不明なユーザーアカウントの存在も改ざんの兆候となります。

その他にも、検索結果に表示される内容が実際のサイトと異なる、アクセス解析で不自然なトラフィックの増加がある、メールフォームから身に覚えのない送信が行われるなどの症状も確認されています。これらの症状を見逃さないよう、日常的な監視が重要です。

Google Search Consoleでの異常確認手順

Google Search Consoleの「セキュリティの問題」で警告をチェックし、「検索トラフィック」で急激な順位変動を確認します。「インデックス ステータス」で不審なページの増加がないか定期的に監視することが重要です。

特に注意すべきは、インデックスされたページ数の急激な増加です。攻撃者は多数のスパムページを自動生成することがあり、通常のページ数から大幅に増加している場合は改ざんの可能性があります。また、検索クエリで身に覚えのないキーワードが上位に表示される場合も要注意です。

無料セキュリティプラグインを使った簡易診断

Wordfence Security や Sucuri Security などの無料プラグインを使用してマルウェアスキャンを実行します。基本的な脅威検出機能により、改ざんされたファイルや不審なコードの存在を確認できます。

無料版でも十分な検出能力があり、週1回程度の定期スキャンを実行することで、多くの改ざんを早期発見できます。ただし、スキャン結果に表示される警告の中には、正常なファイルを誤検出する場合もあるため、削除前に必ず内容を確認することが重要です。

なお、技術的な知識や経験が不足している場合は、専門家への相談をおすすめします。攻撃の巧妙化により、今や従来の対策だけでは防ぎきれないケースが増加しているからです。機械的診断では検知できない綿密な分析により、自社対応では気づけない脆弱性への対応も可能となり、より強固な対策が行えます。

ファイル更新日時で怪しい変更を発見する方法

FTP ソフトでサーバーにアクセスし、wp-content 配下のファイル更新日時をチェックします。身に覚えのない日時で更新されたPHPファイルがあれば改ざんの可能性が高く、特に index.php や.htaccess の変更は要注意です。

定期的にファイル一覧をエクスポートして、前回との差分を確認する方法も効果的です。新規作成されたファイルや、サイズが大幅に変更されたファイルがないかをチェックし、異常を発見したら直ちに内容を確認しましょう。

より確実な診断をお求めの場合は専門家へ

上記でご紹介したチェック方法は、基本的な異常検知に有効です。しかし、攻撃の巧妙化により、これらの方法だけでは発見できない脅威も増加しています。より確実な診断を求めるなら、専門サービスの利用がおすすめです。

LabWorks の脆弱性診断サービスでは、記事で説明している以下の脆弱性を専門的に診断できます。

→ サービス詳細はこちら

今すぐできる！WordPress 改ざん対策7選

技術的な専門知識がなくても実践できる、効果的な改ざん対策をご紹介します。これらの対策を組み合わせることで、セキュリティレベルを大幅に向上させることができます。

【基本対策1】WordPress・プラグイン・テーマの定期更新

WordPress 本体、プラグイン、テーマを常に最新版に保つことが最重要です。月1回の定期更新スケジュールを設定し、セキュリティ更新は即座に適用します。更新前は必ずバックアップを取得することを忘れずに実行しましょう。

自動更新機能を有効にすることで、セキュリティ更新を見逃すリスクを軽減できます。ただし、重要なサイトの場合は、更新によるトラブルを避けるため、テスト環境での動作確認を行ってから本番環境に適用することをお勧めします。

【基本対策2】管理者パスワードの強化と二段階認証

8文字以上の英数字記号混合パスワードに変更し、Google Authenticator や Authy などによる二段階認証を有効化します。管理者ユーザー名は「admin」から別名に変更し、推測されにくい設定にすることが重要です。

パスワード管理ツールの使用も強く推奨します。複雑で長いパスワードを自動生成し、安全に管理することで、パスワード関連のリスクを大幅に軽減できます。また、定期的なパスワード変更も忘れずに実行しましょう。

【基本対策3】不要なプラグイン・テーマの削除

使用していないプラグインやテーマは完全に削除します。無効化しただけでは脆弱性が残るため、管理画面から削除まで実行することが重要です。インストール時は信頼できる開発者のプラグインのみを選択しましょう。

プラグインを選ぶ際は、最終更新日、アクティブインストール数、評価、サポート状況を必ず確認します。長期間更新されていないプラグインは、新しい脆弱性に対応していない可能性があるため避けることが賢明です。

【基本対策4】セキュリティプラグインの導入と設定

Wordfence Security や SiteGuard WP Plugin などの信頼性の高いセキュリティプラグインを導入します。ファイアウォール機能、ログイン制限、マルウェアスキャンの設定を適切に行うことで、多層的な防御体制を構築できます。

設定時は、過度に厳しい制限を設けると正当なユーザーもブロックしてしまう可能性があります。段階的に設定を調整し、運用に支障をきたさないレベルで最適化することが重要です。

【基本対策5】定期的なバックアップの自動化

UpdraftPlus や BackWPup などのプラグインで週1回の自動バックアップを設定します。バックアップデータは Dropbox や Google Drive など外部ストレージに保存し、復旧テストも定期的に実施することが重要です。

バックアップは複数世代を保持し、異なる保存場所に分散させることでリスクを軽減できます。また、データベースとファイルの両方をバックアップすることを忘れずに実行しましょう。

【基本対策6】ログイン画面のURL変更とアクセス制限

wp-login.php のデフォルト URL を変更し、特定IPアドレスからのみアクセス可能に制限します。ログイン試行回数制限も併用することで、ブルートフォース攻撃のリスクを大幅に軽減できます。

ただし、URL を変更した場合は、管理者全員に新しい URL を共有し、ブックマークの更新を忘れないよう注意が必要です。また、IP アドレス制限は、リモートワークなど働き方の変化に応じて柔軟に調整することが重要です。

【基本対策7】ファイルのアクセス権限設定の最適化

重要ファイルのパーミッション設定を適切に行います。wp-config.php は600、その他の PHP ファイルは644、ディレクトリは755に設定します。FTP ソフトで定期的にパーミッションをチェックすることが重要です。

過度に緩いパーミッション設定は不正アクセスの原因となり、過度に厳しい設定はサイト動作に支障をきたします。推奨値を基準としつつ、サイトの動作に問題がないかを確認しながら最適化しましょう。

【応用対策】プロによる定期的な脆弱性診断の活用

上記の基本対策に加え、プロによる定期的な脆弱性診断を組み合わせることで、セキュリティレベルを更に向上できます。

LabWorks の脆弱性診断サービスでは、プロフェッショナルによるツール診断と手動診断のハイブリッド方式により、わずかな脆弱性が重大な改ざん被害につながることを未然に防止できます。脆弱性検知後の修正対応まで可能な点もメリットです。

改ざん被害を発見した時の緊急対応手順

改ざんが発覚した場合は、迅速かつ適切な対応が被害拡大を防ぐ鍵となります。パニックにならず、段階的に対処することが重要です。

【STEP1】サイトの一時停止と被害範囲の確認

改ざんを発見したら即座にサイトを一時停止し、被害の拡大を防ぎます。管理画面にログインして不正なユーザーアカウントや投稿がないかチェックし、同時に他の運営サイトへの被害拡大も確認します。

サイトの一時停止は、訪問者への被害拡大を防ぐ最重要措置です。メンテナンス画面を表示させるか、.htaccess でアクセスを制限し、復旧まで安全を確保しましょう。

【STEP2】バックアップからの復旧作業

最新の正常なバックアップからサイトを復旧します。復旧前に改ざんされたファイルのコピーを保存し、被害状況の詳細分析に備えます。データベースも同様に正常な状態に戻す作業を実施します。

復旧作業は慎重に行い、バックアップの整合性を事前に確認することが重要です。部分的な復旧によって新たな問題が発生する可能性もあるため、可能な限り全体を一括で復旧することをお勧めします。

【STEP3】セキュリティホールの特定と修正

改ざんの原因となった脆弱性を特定し、修正を実施します。古いプラグインの更新、弱いパスワードの変更、不要なファイルの削除など、根本的な原因の解決が必要です。

原因の特定が困難な場合は、専門業者に調査を依頼することも検討しましょう。再発防止のためには、原因を正確に把握し、適切な対策を講じることが不可欠です。

【STEP4】Google 等検索エンジンへの報告と対応

Google Search Console で再審査リクエストを提出し、検索結果からの警告表示を解除します。SNSでの情報発信やお客様への説明など、信頼回復に向けた対外的な対応も重要な要素です。

透明性を保った情報公開は、長期的な信頼回復につながります。被害状況と対策内容を適切に伝え、再発防止に向けた取り組みを明確に示すことで、ステークホルダーの理解を得られるでしょう。

継続的なセキュリティ管理のコツ

一度対策を実施しても、継続的な管理がなければセキュリティレベルは低下してしまいます。組織的な取り組みが重要です。

月次・週次で行うべきチェック項目

週次でプラグイン・テーマの更新確認、月次でセキュリティプラグインのスキャン実行とバックアップ動作確認を実施します。ログイン履歴やファイル更新日時の異常チェックも定期的に行うことが重要です。

チェックリストを作成し、担当者が変わっても同じレベルの管理を継続できる体制を整えましょう。また、チェック結果は記録に残し、異常の傾向を把握することで予防効果を高められます。

社内での情報共有とルール作り

WordPress の管理者パスワードを複数人で共有せず、個別アカウントを作成します。セキュリティインシデント発生時の連絡体制と対応手順を社内で明文化し、定期的に訓練を実施することが重要です。

情報セキュリティ教育を定期的に実施し、スタッフのセキュリティ意識向上を図ることも効果的です。最新の攻撃手法や対策について共有し、組織全体でセキュリティレベルを向上させましょう。

専門家によるセキュリティ監査

継続的なセキュリティ管理のためには、専門家によるセキュリティ監査・脆弱性診断を含む包括的なサポートを受けるのが理想的です。

事後的な対応よりも、予防的な対応に投資した方が圧倒的に低コストです。わずかな脆弱性が重大な改ざん被害につながることを未然に防止しましょう。

LabWorks の脆弱性診断サービスの特徴

LabWorks の脆弱性診断サービスでは、プロフェッショナルによるツール診断と手動診断のハイブリッド方式により、機械的診断では検知できない綿密な分析を実施できます。

また、修正オプションによるワンストップ対応により、脆弱性検知後の修正対応まで可能な点も大きなメリットです。「発見→対応」まで一貫したサポートにより、確実なセキュリティ強化を実現できます。

→ サービス詳細はこちら

まとめ

WordPress 改ざん被害は年々巧妙化していますが、適切な知識と対策によってリスクを大幅に軽減することができます。

本記事でご紹介した7つの基本対策は、技術的な専門知識がなくても実践できる内容です。特に、定期的な更新、強固なパスワード設定、セキュリティプラグインの導入は、改ざん攻撃の多くを防ぐ効果があります。

改ざんが発生した場合の緊急対応手順を事前に把握しておくことで、被害を最小限に抑えることができるでしょう。また、継続的なセキュリティ管理体制を整備し、組織全体でセキュリティ意識を共有することが重要です。

WordPress サイトの安全性確保は一時的な取り組みではなく、継続的なプロセスです。今回ご紹介した対策を参考に、自社サイトのセキュリティレベル向上に取り組んでいただければと思います。専門家への相談もぜひ検討してみてください。安全な Web サイト運営により、お客様からの信頼を守り、事業の発展につなげていきましょう。