ハッキングされたWordPressサイトを復旧する方法

何百万ものウェブサイトがワードプレスで構築されており、ハッカーの格好の標的となっている。

ウェブサイトが侵害された可能性がある場合は、まず深呼吸してください。ハッキングされたWordPressサイトの復旧は確実に可能です。安全かつ確実にサイトを復旧させる手順を順を追って説明します。

このガイドでは、WordPressサイトをハッキング被害から復旧させるために必要なすべての手順を解説します。

以下はその要点である：

• ハッキングされたWordPressサイトの大半は完全に復旧可能です。対応が早ければ早いほど被害を食い止められ、復旧作業も容易になります。
• 一般的な侵入経路には、脆弱なパスワード、古いプラグインやテーマ、安全でないホスティング環境などが含まれます。原因を把握することで、再発を防ぐことができます。
• ハッキングされたWordPressサイトは、ハッキングが発生する前に作成したバックアップを復元することで復旧できます。
• Duplicator Proの災害復旧リンクは、他のバックアッププラグインとは異なり、WordPressダッシュボードに完全にアクセスできなくなった場合でもサイトを復元できます。
• 長期的なハッキング対策として最も効果的なのは、自動バックアップ、Sucuriのようなセキュリティプラグイン、強固でユニークなパスワード、そして全ての更新を常に最新の状態に保つことの組み合わせです。

目次

ホスティングプロバイダー、プロの開発者、またはセキュリティ機関も、サイトをオンラインに戻す手助けをしてくれます。WordPressの経験があれば、自分でデータベースをクリーンアップし、パスワードを変更し、マルウェアを削除することができます。

ほとんどのWordPressウェブサイトはどのようにハッキングされるのか？

ハッカーはかなり創造的になることができますが、ほとんどのWordPressハッキングの背後にあるいくつかの共通の犯人があります。 

脆弱なパスワード

パスワードは玄関の鍵のようなものだと思ってください。弱いパスワードは簡単にクラックされ、突破されてしまいます。 

パスワードはハッカーに盗まれる可能性があります。また、ハッカーはボットを使って、あなたのサイトにアクセスするまでパスワードをランダムに推測することもできます。これはブルートフォースアタックと呼ばれます。 

古いソフトウェア

車にオイル交換が必要なように、WordPressのコア、テーマ、プラグインにもセキュリティの脆弱性を修正するための定期的なアップデートが必要です。ハッカーはこのような古いシステムを悪用するのが大好きです。 

脆弱なテーマとプラグイン

すべてのテーマやプラグインが同じように作られているわけではありません。ハッカーが利用できる脆弱性が組み込まれているものもあるかもしれない。セキュリティを優先する信頼できる開発者のテーマやプラグインを選ぶことが重要です。 

安全でないウェブホスティング

信頼できるウェブホストは、ファイアウォールやマルウェアスキャナーなど、外部の脅威からウェブサイトを保護するセキュリティ対策を備えているはずです。ホスティングプロバイダーがセキュリティに手を抜くと、サイトが攻撃を受けやすくなります。

サイトがハッキングされた兆候とは？

家の中に入ったら、いつもと違う場所があった。ハッキングされたウェブサイトは、同じような警告サインを発します。以下は、注意すべきレッドフラッグです。

注入されたスパムコンテンツ

あなたのウェブサイトに突然、関係のない広告やリンクが表示されていませんか？ハッカーがサイトのコードにスパムコンテンツを注入している可能性があります。

壊れたレイアウトとデザインの問題

ウェブサイトが歪んで見えたり、乱雑に見えたりしていませんか？ハッカーはあなたのサイトのファイルを改ざんし、レイアウトの問題やデザインの問題を引き起こします。

ログインの問題

WordPressの管理画面にログインできないことはありませんか？ハッカーがログイン情報を変更したか、アクセスを完全にブロックした可能性があります。

これらはハッキングの可能性を示すいくつかの指標に過ぎません。他にも以下のような不審な兆候に気づくかもしれません：

• 読み込みエラー
• グーグルからのマルウェア警告
• 突然のパフォーマンス低下
• 別サイトへのリダイレクト
• 口座に不正な請求があった顧客
• WordPressのダッシュボードやFTPアカウントに未承認の新規ユーザーが追加されました。

ウェブサイト監視ツールは、サイト上の不審な活動に警戒を怠らないよう支援します。ウェブホストやセキュリティプラグインは、サイトがハッキングされた後に通知を送信する場合があります。 

ハッキングされたWordPressサイトを復旧する方法

ハッキングの警告サインに気づいたら、パニックになるかもしれません。しかし、ハッキングされたWordPressサイトは簡単に復旧できます！

その方法はこうだ：

• ステップ1: ウェブサイトをメンテナンスモードにする: ハッキングの診断と修復作業中、訪問者が侵害されたサイトにアクセスできないようにする
• ステップ2: バックアップの復元Duplicatorのワンクリック復元機能でサイトをハッキング前のクリーンな状態に戻すか、ダッシュボードにアクセスできなくなった場合は災害復旧リンクを使用してください。
• ステップ3：マルウェアのスキャンと除去：Sucuriを使用して悪意のあるコードを検出し除去し、バックドアとして機能している可能性のある非アクティブなテーマやプラグインを削除します。
• ステップ4: パスワードのリセット: サイトに関連するすべての認証情報を変更してください: WordPress管理画面、ホスティングアカウント、FTP、MySQLデータベース、メールアドレス
• ステップ5: 利用可能な更新を実行する: WordPressコア、すべてのテーマ、すべてのプラグインを最新版に更新し、ハッカーが利用した可能性のある脆弱性を修正する
• ステップ6: ユーザー権限の確認: ユーザーリストを監査し、ハッカーが将来のアクセスを維持するために作成した可能性のある不審なアカウントを削除する
• ステップ7: 秘密鍵の変更: ハッカーがまだ保持している可能性のあるアクティブなセッションを無効化するため、新しいWordPressセキュリティキーを生成します
• ステップ8: データベースのクリーンアップ: WP-Optimizeを使用してデータベーステーブルから注入された悪意のあるコードを削除するか、資格のあるWordPress開発者に依頼してください
• ステップ9：新しいサイトマップを作成する：サイトマップを再生成し、検索エンジンに再送信します。これにより、検索エンジンがクリーンなサイトを再クロールし、順位を回復させます。

始める前に、漏洩した可能性のあるパスワードはすぐに変更すること。こうすることで、ハッカーによる被害が拡大することを心配することなく、トラブルシューティングを行うことができる。

ステップ1：ウェブサイトをメンテナンスモードにする

ハッキングされたウェブサイトは、訪問者にとって恥ずべきものであり、有害でさえあります。サイトをメンテナンスモードにすることで、危険なバージョンが閲覧されるのを防ぐことができます。

ハッキングを診断し、サイトをクリーンアップし、ライブの訪問者にプレッシャーをかけずにセキュリティ対策を実施する余裕ができる。

WordPressサイトをメンテナンスモードにするには、SeedProdを使うことをお勧めする。これはユーザーフレンドリーなプラグインで、サイトの修復中にカスタマイズ可能なcoming soonページを有効にすることができます。  

このメンテナンスページは、サイトが作業中であり、まもなく再開されることを訪問者に伝えます。

詳細については、WordPressサイトをメンテナンスモードにする方法をご確認ください。

ステップ2：バックアップの復元

WordPressサイトがハッキングされた場合、必要なのはバックアップだけです。

バックアップとは、ウェブサイト全体の完全なコピーであり、すべてのファイル、データベース、設定を含みます。バックアップを復元すると、ハッキングが発生する前のクリーンな状態にウェブサイトを巻き戻すことになります。

Duplicatorのようなバックアッププラグインを使えば、サイトの復元は簡単です。Duplicatorではバックアップをスケジュール設定できるため、バックアップ作業を気にする必要はありません。問題が発生したら、[Backups]ページでバックアップを探し、[Restore]をクリックするだけです。

ハッカーによってWordPressのダッシュボードからロックされることがあります。ご心配なく、サイトが永遠に失われたわけではありません！

Duplicatorを使えば、バックアップをディザスタリカバリのポイントに設定することができる。災害復旧リンクが表示されます。サイバー攻撃に備えて、これを安全な場所に保管しておきましょう。

ハッキング後、このリンクを新しいブラウザウィンドウに貼り付けるだけです。Duplicator リカバリウィザードを使用して、サイトを（ダッシュボードなしで）オンラインに戻してください。

以前にダウンロードしたバックアップがある場合は、サイトのルートディレクトリにアップロードすることもできます。以下のURLでデータを復元してください：https://your-domain/installer.php

多くのウェブホスティングプロバイダは、自動バックアップサービスを提供しています。その場合、ホスティングのコントロールパネルからサイトを復元することができます。しかし、特にバックアップが十分新しいものでない場合、これは常にオプションとは限りません。

最悪の場合、バックアップがなくてもサイトを復元することはできます。しかし、ファイルやデータベースを以前とまったく同じように再生成するのは難しいでしょう。 

ステップ3：マルウェアのスキャンと削除

サイバー攻撃を受けた後、あなたのサイトに悪意のあるコードが潜んでいる可能性があります。マルウェアは、ウェブサイトに感染して被害をもたらすデジタル・ウイルスと考えてください。

非アクティブなテーマやプラグインはバックドアとして使われることが多いので、削除することをお勧めする。

マルウェアをスキャンするには、WordPressセキュリティプラグインのインストールを検討してください。ここでは、Sucuriがお役に立ちます。 

Sucuriは、包括的なウェブサイトスキャンとマルウェア除去を提供する人気のウェブサイトセキュリティサービスです。Sucuriのツールは、あなたのサイトに隠れているかもしれない悪意のあるコードを特定し、除去するのに役立ちます。

Sucuriをインストールすると、マルウェアの完全スキャンが実行されます。ハッキングされたファイルがあるかどうかがわかります。

Sucuriのプレミアムバージョンを使用している場合は、WordPressのマルウェア除去のエキスパートが提供されます。そうでない場合は、破損したWordPressファイルの新しいコピーをダウンロードし、マルウェアのあるファイルを上書きすることができます。

これを自分で行うには、ハッキングされたWordPressサイトに存在するバックドアを見つける方法に関するこのガイドをお読みください。

ステップ4：パスワードをリセットする

ハッキング後にウェブサイトのコントロールを取り戻すことは、すべてのログイン認証情報の所有権を取り戻すことを意味します。WordPressのパスワードは必ずリセットしてください。

大文字、小文字、数字、記号を織り交ぜた複雑なパスワードを作成する。複数のアカウントで同じパスワードを使うのは避けましょう。 

WordPressの管理者パスワードだけで終わらせないでください！ホスティングアカウント、FTP認証、MySQL、メールアドレスなど、ウェブサイトに関連するあらゆるパスワードをリセットできます。 

これらのステップに従うことで、ハッカーがあなたのウェブサイトに再びアクセスすることはかなり難しくなる。

ステップ 5: 利用可能なアップデートの実行

ハッカーは、古いソフトウェアの既知の脆弱性を悪用するのが大好きです。多くの場合、アップデートにはこれらの脆弱性を修正するセキュリティパッチが含まれており、あなたのウェブサイトは攻撃を受けにくくなります。

サイトを復旧し、パスワードをリセットしたら、更新ページに移動します。WordPressのコアソフトウェアで利用可能なアップデートを開始します。

テーマやプラグインもすべて最新バージョンにアップデートしましょう。テーマやプラグインの開発者は、セキュリティ上の問題に対処し、全体的な機能を向上させるアップデートを頻繁にリリースしています。 

WordPressのコア、テーマ、プラグインを常に最新の状態に保つことで、これらの脆弱性によってウェブサイトが再びハッキングされるリスクを大幅に減らすことができます。

ステップ6：ユーザー権限の確認

ハッカーは、あなたがコントロールを取り戻した後もアクセスを維持するために、あなたのサイトに新しいユーザーアカウントを作成するかもしれません。ユーザー権限を確認することで、そこに存在するはずのない不審なアカウントを特定することができます。  

不審なユーザーを特定したら、直ちにウェブサイトから削除してください。こうすることで、ハッカーが将来アクセスするために作ったかもしれないバックドアを排除することができます。 

ユーザーには、タスクの実行に必要な最低限の権限だけを与える。例えば、コンテンツライターには管理者権限は必要ありません。 

一部のプラグインには、セキュリティをさらに強化するための高度なユーザー権限設定があります。ハッカーがDuplicatorを使ってウェブサイトのコピーを作成したり、現在のデータを上書きしたりする事態は避けたいものです。そのため、設定画面でプラグインの使用権限を調整することができます。

この機能を持つすべてのプラグインでこのプロセスを繰り返す。 

ステップ7：シークレット・キーの変更

WordPressサイトには、ダッシュボードへのログインを簡単にするセキュリティキーがあります。ログイン情報は暗号化され、クッキーとして保存されます。これらの情報は、wp-config.php ファイルに保存されているセキュリティキーを使用して変換されます。

ハッカーはあなたのパスワードを盗んでサイトにアクセスした可能性がある。彼らがログインすると、WordPressは彼らのためにシークレットキーを生成します。彼らはクッキーが有効である限りログインしたままになります。

不正ユーザーをログアウトするには、セキュリティキーを変更する必要があります。Sucuriがお手伝いします。

設定で、「Post-Hack」に進みます。Generate New Security Keysボタンをクリックします。

Sucuriは、セキュリティキーを自動的に更新することもできます。毎日、毎週、毎月、または四半期ごとに新しいものを生成できます。

ステップ8：データベースのクリーンアップ

データベースには、ウェブサイトのコンテンツやユーザーデータなど、多くの情報が裏で保存されています。ハッカーは、データベースに直接マルウェアを注入することで、これを悪用するかもしれません。 

顧客データと注文データを取り戻すには、データベースをクリーンアップする必要があります。 

ハッキング後にデータベースが感染している可能性がある場合は、有資格のWordPress開発者に助けを求め、徹底的なクリーンアップを行うことを検討してください。

WP-Optimizeのようなプラグインを使うこともできる。データベース内の重要でない情報を一掃してくれる。

しかし、データベースのクリーニング、特に複雑なクエリーやコード操作を伴う場合は、WordPress開発者に任せるのが最善です。彼らは、ウェブサイトの機能を損なうことなく悪意のあるコードを特定し、削除する専門知識を持っています。

ステップ9：新しいサイトマップを作成する

ハッキングされた後、検索エンジンがあなたのウェブサイトを疑わしいと判断した可能性があります。サイトマップを再作成することで、SEOの健全性を取り戻すことができます。 

サイトマップは、検索エンジンにウェブサイトの重要なページの場所を知らせるものです。ハッキングされた後、サイトマップは古くなっていたり、危険なコンテンツへのリンクが含まれている可能性があります。新しいサイトマップを作成することで、検索エンジンはあなたのウェブサイトに関する最新の情報を得ることができます。

検索エンジンにクリーンなウェブサイトを通知することで、サイトの再クロールと再インデックスを促せます。これによりウェブサイトの検索順位が向上する可能性があります。

WordPressサイトの新しいサイトマップを作成するには、いくつかの方法があります。All in One SEOは、数回クリックするだけで簡単にサイトマップを再生成できる人気のSEOプラグインです。

AIOSEOで、サイトマップのページに移動します。そして、サイトマップを有効にします。

新しいサイトマップにエラーがないか確認してください。 

すべてのリンクが正しく見える場合は、AIOSEO " 一般設定 " ウェブマスターツールを見つけます。Google Search Consoleをクリックし、サイトをこのツールに接続する。 

AIOSEOがGoogle Search Consoleにリンクされると、サイトマップが自動的に送信されます。Googleはこの新しい健全なサイトマップを再クロールします。 

ハッキングされたWordPressサイトを回復するその他の方法

ウェブサイトが深刻な侵害を受けた場合、またはハッキングがご自身の技術的専門知識を超えると思われる場合は、専門家の支援を求めることをご検討ください。

多くのウェブホスティング会社は、セキュリティ機能とサポートを提供しています。自分でできない場合は、マルウェアのスキャンやバックアップの復元を手伝ってくれるかもしれない。

技術に詳しいユーザーには、手動で復旧させるという選択肢もある。これには、すべてのプラグインとテーマを無効にし、WordPressコアを再インストールし、マルウェアのファイルを手動でクリーニングする必要があります。 

ただし、この方法は経験豊富なユーザーにのみお勧めします。間違いがあれば、ウェブサイトにさらなるダメージを与える可能性があります。

ハッキングからWordPressサイトを守る方法

ハッキングから回復するのはストレスのたまることですが、WordPressサイトを安全にし、そもそもハッキングされないようにするためにできることはたくさんあります。 

すべてのウェブサイト関連アカウント（WordPress管理画面、ホスティングログイン、FTP、メールなど）には、強力でユニークなパスワードの使用をお勧めします。複雑なパスワードを安全に生成・保管するため、パスワードマネージャーの利用をご検討ください。

WordPressのコア、テーマ、プラグインは常に最新バージョンにアップデートしましょう。アップデートには、脆弱性を修正するセキュリティパッチが含まれていることがよくあります。可能な限り自動アップデートを有効にして、このプロセスを効率化しましょう。

SucuriやWordfenceのような評判の高いセキュリティプラグインをインストールして、ウェブサイトにさらなる保護レイヤーを追加することを検討してください。これらのプラグインは、あなたのサイトにマルウェアがないかスキャンし、疑わしいトラフィックをブロックし、潜在的なセキュリティ脅威を警告することができます。 

定期的なバックアップはあなたのセーフティネットです。最新でクリーンなバックアップがあれば、万が一ハッキングされた場合でもすぐにウェブサイトを復元することができます。Duplicator Proのような信頼性の高いバックアッププラグインを使ってバックアップを自動化すれば、必要なときにいつでもバックアップを取ることができます。

前に述べたように、Duplicatorはリカバリポイントを設定することができ、ダッシュボードなしでバックアップを復元することができます。開始するには、最近のフルサイトバックアップを見つけます。その横にある青い家のアイコンをクリックします。

ポップアップで、災害復旧の設定を続ける。

最後に、リカバリーリンクをコピーするか、ランチャーファイルをダウンロードする。これらのオプションは、WordPressサイトから離れた場所に保管してください。ウェブサイトがダウンした場合は、リンクをウェブブラウザに貼り付けるか、リカバリファイルを開いてください。

これらのセキュリティのベストプラクティスに従うことで、あなたのウェブサイトは訪問者にとって安全であり続けることができます。

ハッキングされたWordPressサイトの復旧に関するFAQ

同じ手口に二度と引っかからないで

ハッキングされたWordPressサイトが完全に復旧したことを願っています！

オンラインに戻ったら、焦点を予防に移しましょう。繰り返しハッキングされるサイトは、そもそも脆弱性の原因となっていた点を改善していません。

Duplicator Proで自動バックアップを設定し、セキュリティプラグインをインストールし、秘密鍵をスケジュールに従って定期的に更新し、自動更新が有効になっていることを確認してください。今数分かけて設定する方が、後でまたクリーンアップ作業をするよりずっと良いのです。

災害復旧リンクの設定もお忘れなく。問題が発生する前にDuplicatorで設定しておくことは、サイトのセキュリティ対策において最も過小評価されている手段です。万が一ハッカーに再びアクセスを遮断されても、このリンクがあればダッシュボードがなくても復旧できます。

ウェブサイトがハッキングされましたか？Duplicator Proでバックアップを（ワンクリックで）すぐに復元しましょう！

ここにいる間、私はあなたがこれらの余分なWordPressガイドを気に入ると思います：

• バックアップからWordPressを復元する方法（5分以内）
• ハッカーからウェブサイトを守る方法
• 20の最も一般的なWordPressエラー（そしていくつかのクイックフィックス）
• ワードプレスは安全か？真実を明らかにする
• WordPressセキュリティチェックリスト：あなたのサイトを守るステップ・バイ・ステップ・ガイド