WordPressハッキングの原因トップ5と再発防止チェックリスト【保存版】

「復旧したのにまたハッキングされた…」
そんな声をよく聞きます。

実は、WordPressがハッキングされる原因の多くは、たった数個の典型的なパターンに集約されます。
本記事では、その原因トップ5と、再発を防ぐための具体的なチェックポイントを紹介します。

✅ よくあるハッキング被害の例

  • サイトが勝手に海外サイトへリダイレクト
  • サイト内にスパムリンクや広告が埋め込まれる
  • WordPressにログインできなくなる
  • Google検索で「このサイトは危険」と表示される
  • サイト訪問者にウイルス警告が出る

🔍 ハッキングの原因トップ5

① 古いプラグイン・テーマの脆弱性

WordPress本体ではなく、プラグインやテーマのセキュリティホールが狙われるケースが非常に多いです。

再発防止策:

  • 使用中のプラグイン・テーマをすべて最新版に更新
  • 更新版の配信が終了しているプラグインは削除
    • 各手プラグインのデータベース側のデータはプラグイン削除で消えないものがほとんどであるため、別途、手動削除が必要
  • 信頼できない開発元の製品は使わない(NVDpatchstack.comなどのvulnerability databaseで脆弱性の状況を確認)
    • githubでプラグインやテーマの開発状況、開発継続性、開発元企業/人についての確認なども有用です。

② 管理者パスワードの使い回し・推測されやすい文字列

「admin / password123」のようなログイン情報はすぐに破られます。

再発防止策:

  • 管理者パスワードは20文字以上のランダム英数記号で生成
  • 多要素認証(MFA)を導入
    • ログインURL変更などのブルートフォース対策にも有効
  • ダッシュボード画面に対するIPアドレス制限

③ セキュリティキー(ソルト)の漏洩・未更新

WordPressでは、セッションやCookieなどの暗号化に使われるセキュリティキーwp-config.php に設定されています。
ここが盗まれていると、パスワード変更しても攻撃者がログインできる状態が続きます。

再発防止策:

④ WordPressコアの未更新・自動更新の無効化

「更新が怖いから止めている…」という方も多いですが、未更新のまま放置は非常に危険です。

再発防止策:

  • WordPress本体は最新版へ必ず更新
  • コア、テーマ、プラグイン、すべて自動更新
  • 大規模サイトなどで自動更新のリスクを許容できない場合、検証環境で事前検証してから本番環境への反映を行う。目安は毎月。
    • WordPress運用の人員や2環境以上の運用コストを確保できるかどうか。

⑤ サーバー上の過去資産(旧バックアップ・旧CMS)の放置

/backup/, /old_wp/, /test/ などのディレクトリに、古いWordPressや別CMSが残っているケースが多く、それらが侵入口になることもあります。

再発防止策:

  • 使用していないディレクトリ・旧ファイルをすべて削除
  • .zip, .tar.gz, .sql などのアーカイブも置きっぱなしにしない
  • robots.txt でのクロール制御だけでは攻撃者は防げません

🛡 WordPress再発防止チェックリスト(10項目)

Noチェック項目
1WordPress本体は最新版に更新済みか
2すべてのプラグイン・テーマが最新か
3使用していないプラグインは削除済みか
4管理者パスワードは強固か(MFA含む)
5wp-config.php のセキュリティキーは再生成済か
6.htaccess, .user.ini に異常がないか
7不要なディレクトリ(/backup など)は削除済みか
8ログインURLの変更やログイン試行制限を行っているか
9定期的なバックアップを取得・保管しているか
10セキュリティプラグインを導入済みか(Wordfence等)

🔁 忘れてはいけない:「ログ調査」と「侵入経路の特定」

再発防止には、なぜ侵入されたのかの原因調査が欠かせません。レンタル共有サーバーで取得できるログには限界があり、この限界は調査の限界となっています。

👉 【完全版】WordPressへの侵入経路を調査する方法|再発防止のためにやるべきログとファイルの確認ポイント

🚨 自力での対策が不安な場合は

  • ✅ 最短2時間での復旧+調査+再発防止
  • ✅ WAF・MFA・CDNなどフル対応可能
  • ✅ 無料診断・ヒアリング受付中

👉 [無料相談はこちら]