WordPressハッキングの原因トップ5と再発防止チェックリスト【保存版】
「復旧したのにまたハッキングされた…」
そんな声をよく聞きます。
実は、WordPressがハッキングされる原因の多くは、たった数個の典型的なパターンに集約されます。
本記事では、その原因トップ5と、再発を防ぐための具体的なチェックポイントを紹介します。
✅ よくあるハッキング被害の例
- サイトが勝手に海外サイトへリダイレクト
- サイト内にスパムリンクや広告が埋め込まれる
- WordPressにログインできなくなる
- Google検索で「このサイトは危険」と表示される
- サイト訪問者にウイルス警告が出る
🔍 ハッキングの原因トップ5
① 古いプラグイン・テーマの脆弱性
WordPress本体ではなく、プラグインやテーマのセキュリティホールが狙われるケースが非常に多いです。
再発防止策:
- 使用中のプラグイン・テーマをすべて最新版に更新
- 更新版の配信が終了しているプラグインは削除
- 各手プラグインのデータベース側のデータはプラグイン削除で消えないものがほとんどであるため、別途、手動削除が必要
- 信頼できない開発元の製品は使わない(NVDやpatchstack.comなどのvulnerability databaseで脆弱性の状況を確認)
- githubでプラグインやテーマの開発状況、開発継続性、開発元企業/人についての確認なども有用です。
② 管理者パスワードの使い回し・推測されやすい文字列
「admin / password123」のようなログイン情報はすぐに破られます。
再発防止策:
- 管理者パスワードは20文字以上のランダム英数記号で生成
- 多要素認証(MFA)を導入
- ログインURL変更などのブルートフォース対策にも有効
- ダッシュボード画面に対するIPアドレス制限
③ セキュリティキー(ソルト)の漏洩・未更新
WordPressでは、セッションやCookieなどの暗号化に使われるセキュリティキーが wp-config.php に設定されています。
ここが盗まれていると、パスワード変更しても攻撃者がログインできる状態が続きます。
再発防止策:
- WordPress公式ソルト生成ツール で新しいキーを生成
wp-config.phpにあるAUTH_KEYなど8つの定数をすべて上書き
④ WordPressコアの未更新・自動更新の無効化
「更新が怖いから止めている…」という方も多いですが、未更新のまま放置は非常に危険です。
再発防止策:
- WordPress本体は最新版へ必ず更新
- コア、テーマ、プラグイン、すべて自動更新
- 大規模サイトなどで自動更新のリスクを許容できない場合、検証環境で事前検証してから本番環境への反映を行う。目安は毎月。
- WordPress運用の人員や2環境以上の運用コストを確保できるかどうか。
⑤ サーバー上の過去資産(旧バックアップ・旧CMS)の放置
/backup/, /old_wp/, /test/ などのディレクトリに、古いWordPressや別CMSが残っているケースが多く、それらが侵入口になることもあります。
再発防止策:
- 使用していないディレクトリ・旧ファイルをすべて削除
.zip,.tar.gz,.sqlなどのアーカイブも置きっぱなしにしないrobots.txtでのクロール制御だけでは攻撃者は防げません
🛡 WordPress再発防止チェックリスト(10項目)
| No | チェック項目 |
|---|---|
| 1 | WordPress本体は最新版に更新済みか |
| 2 | すべてのプラグイン・テーマが最新か |
| 3 | 使用していないプラグインは削除済みか |
| 4 | 管理者パスワードは強固か(MFA含む) |
| 5 | wp-config.php のセキュリティキーは再生成済か |
| 6 | .htaccess, .user.ini に異常がないか |
| 7 | 不要なディレクトリ(/backup など)は削除済みか |
| 8 | ログインURLの変更やログイン試行制限を行っているか |
| 9 | 定期的なバックアップを取得・保管しているか |
| 10 | セキュリティプラグインを導入済みか(Wordfence等) |
🔁 忘れてはいけない:「ログ調査」と「侵入経路の特定」
再発防止には、なぜ侵入されたのかの原因調査が欠かせません。レンタル共有サーバーで取得できるログには限界があり、この限界は調査の限界となっています。
👉 【完全版】WordPressへの侵入経路を調査する方法|再発防止のためにやるべきログとファイルの確認ポイント
🚨 自力での対策が不安な場合は
- ✅ 最短2時間での復旧+調査+再発防止
- ✅ WAF・MFA・CDNなどフル対応可能
- ✅ 無料診断・ヒアリング受付中
