あなたのサイトは大丈夫？WordPressサイトがハッキングされたら真っ先にやるべき5つのこと

更新日: 2018年05月29日

カスタマーサポート・カスタマーサクセス

WordPressの脆弱ぜいじゃく性を狙ったハッキング被害が増加しています。
2017年に入ってからも、WordPressのセキュリティプラグインなどを公開しているSucuriによれば、少なくともたった10日間のうちに6万6000件以上の被害があったようです。

参考：
WordPressの脆弱性突く攻撃が激増、6万以上のWebサイトで改ざん被害｜ITmedia エンタープライズ

さらに、手法も年々悪質になってきているため、対策を打たなければ何度も改ざんされ続けてしまいます。
WordPressは自動更新機能がデフォルトで有効になっていますが、それでもハッキング被害が増え続けているので、サイト管理者が本気で対策を進めていかなければいけません。

ただ、実際にハッキングに気づいたらどのうような対処をすればいいか、きちんと理解されている方はどのくらいいるでしょうか。

今回は、WordPressサイトがハッキングされたら真っ先にやるべき5つ対応をご紹介します。
被害が深刻になってしまわないためにも、まず以下の手順をすぐに試してみてください。
場合によっては、被害を最小限にとどめることができるはずです。

WordPressサイトがハッキングされたら真っ先にやるべき5つのこと

1. セキュリティプラグインをインストールする

画像引用元：pexels.com

WordPressにもハッキング防止策は講じられていますが、ハッカーは大抵WordPressの抜け穴は熟知しています。

そこで仮に何も対策を取っておらず、ハッキングに気づいてしまった場合には、パソコンのセキュリティソフトにあたる、WordPressのセキュリティプラグインをすぐにインストールしましょう。

有名なものとしては、SiteGuard WP PluginやAll In One WP Security & Firewall、Sucuri Securityなどが挙げられます。
本来であれば、ハッキング被害を受ける前にこうしたプラグインはインストールしておくべきですが、万が一ハッキングされてしまった場合には、被害を最小限にするためにもすぐにインストールしておきましょう。

2. ハッキング内容を特定する

画像引用元：pexels.com

ホームページのハッキングを受けた場合、多くのサイト管理者は、混乱して何から手をつけていいのかわからなくなってしまうでしょう。
まず最初にやるべきことは、パスワードを変更した後に、ハッキング内容を特定することです。

以下の項目は、特にいますぐにでも確認できる部分です。

・WordPressのログイン画面にアクセスできるか？
・ホームページにアクセスしたあとおかしなサイトにリダイレクト(転送)されないか？
・ホームページ上におかしなコンテンツは挿入されていないか？
・Googleやブラウザがそのサイトを「安全ではない」とみなしていないか？

以上の目視で確認できる項目に加え、ホームページの内容をスキャンしておかしなところがないかを調べてくれるスキャンプラグインを導入してもよいでしょう。
テーマごとにおかしなコードがないかを調べるTheme Authenticity Checker (TAC)や、ワンクリックでマルウェアのスキャニングを行なってくれるQuttera Web Malware Scannerなどを使えば、人の目では検知できないような細部に至るまで被害状況がよく分かります。

3. バックアップから復旧する

画像引用元：pexels.com

WordPressサイトを定期的にバックアップしている場合には、サイトがハッキング被害を受けた直前の時点までさかのぼって、サイト全体を復旧しておくのも一つの方法です。
復旧作業が成功すれば、コードも改ざんされる前のものに変わるので、一旦は落ち着きます。

しかし、注意したいのは、もし毎日記事を更新しているような場合には、投稿した記事やコメントなどが消えてしまう場合もあるので、バックアップからの復旧をためらってしまう場合もあるでしょう。

最悪の場合、バックアップを取っていないために、復旧ができない場合もあります。
その場合には、手動でハッキングされた箇所を見つけて、自身で取り除く必要があるでしょう。

そうした状態にならないためにも、日々バックアップを取っておくことは非常に重要です。
バックアッププラグインには、BackWPupやBackUpWordPressなど、複雑なセットアップ不要で今すぐ使えるものもあります。
万が一このようなプラグインをインストールしていない場合には、今すぐにインストールをしておきましょう。

4. ハッキング部分を取り除く

画像引用元：pexels.com

次に、実際にハッキングされた部分を取り除く作業を行います。

ほとんどのセキュリティプラグインは、事前に怪しい動きを検知してハッキングを防止したり、ハッキングされた内容を見つけたりすることはありますが、通常は役割はここまでで、ハッキング部分は自らが取り除かなければいけないケースが多いようです。

また、通常、ハッキング被害は、サイト管理者が気づかないように大幅な内容の書き換えというよりは小さな部分での「改ざん」や余分なコードの挿入などを行なって、サイトの動きをおかしくするケースが多々あります。

よく感染が確認されるのは、PHPの関数の「base64_decode」や「gzinflate」、「preg_replace」や「str_replace」などです。
コードだけでなく、データベースの中のデータにも注意を払っておきましょう。

5. パスワードを変更する

画像引用元：pexels.com

実際に対策を講じたあとは、もう一度パスワードを変更しておきましょう。
パスワードを読み取られたがためにハッキングされた場合は、パスワードを変更するだけでも大いに効果があります。

そして、WordPress 3.1以降は、セキュリティキーと呼ばれる、パスワードを暗号化するために使われる文字列も使えるようになりました。
パスワードが盗まれてしまった場合に、サーバーに残っているCookieによってハッカーたちがまだサイトに侵入できる場合があります。
その場合に備えて、セキュリティキーを作成し、「wp-config.php」に加えておくことが望ましいでしょう。