はじめに「直したはずなのに、また壊された」という新規の相談が急増している

WordPressサイトがハッキングされ、
セキュリティプラグインを導入し、不審なファイルを削除し、
「とりあえず復旧した」と思った数日後、あるいは数週間後。

再びサイトが改ざんされ、
検索結果に不正なページが表示されたり、
管理画面にログインできなくなったりする——。

このような新規の相談は、近年急増しています。

このような不安を抱えていませんか？

・なぜ、対策したのにまたハッキングされるのか
・もう何をすればいいのかわからない
・制作会社に頼んだのに再発した

結論から言えば、その多くは
「ウイルスを消したつもり」でも、本当の原因が取り除かれていない
ことが原因です。

本記事では、

• なぜWordPressのハッキングは再発するのか

• 一般的な対策がなぜ効かないのか

• 再発を防ぐために本当に必要な対処とは何か

を、
サーバ運用とプログラム開発の現場で数多くの復旧対応を行ってきたフォレストの視点から、
できるだけわかりやすく解説します。

1．WordPressのハッキングは「一度きり」で終わらない

1-1．ハッキングは「侵入」ではなく「占拠」に近い

多くの方は、ハッキングを
「一度侵入されて、何かを壊される行為」
だと考えています。

しかし実際のハッキングは、
侵入後に“拠点を作られる”行為に近いものです。

攻撃者はサイトに侵入すると、

• 再侵入できる裏口（バックドア）を作る

• 複数の場所に不正ファイルを分散配置する

• 復旧された場合に備えた仕掛けを残す

といった行動を取ります。

重要ポイント

一度侵入された時点で、
「再発を前提にした汚染」が始まっているケースがほとんどです。

1-2．攻撃者は“再発前提”でサイトを汚染する

実際の攻撃では、

• wp-includes 配下

• wp-content/uploads 配下

• 一見画像やCSSに見えるファイル

など、管理者が確認しづらい場所に
起爆ファイルやバックドアが設置されます。

そのため、
表面的に問題が解消したように見えても、
内部では再発の準備が続いている状態が珍しくありません。

2．セキュリティプラグインを入れても再発する理由

2-1．セキュリティプラグインの本来の役割

WordPressのセキュリティプラグインは、

• ログイン試行の制限

• 不正アクセスのブロック

• 既知のマルウェアパターン検知

といった 「予防」 を主な目的としています。

これは非常に重要な役割ですが、
すでに侵入された後の完全駆除を目的としたものではありません。

2-2．「予防」と「駆除」はまったく別物

よくある誤解として、
「セキュリティプラグインを入れたから安心」
という考え方があります。

しかしこれは、
病気になった後に、健康診断だけ受けて治療しない
のと同じ状態です。

要注意

既に設置されているバックドアや起爆ファイルは、
多くのセキュリティプラグインでは見逃されます。

3．再発を招く「対処療法型復旧」の落とし穴

3-1．よくある復旧パターン

フォレストに寄せられる相談で多いのが、次の流れです。

1. サイトが改ざんされる

2. 制作会社や知人が不審なファイルを削除

3. 表示が直ったので復旧完了と判断

4. 数日〜数週間後に再発

この対応は、
「見える症状」だけを取り除く対処療法に過ぎません。

3-2．攻撃者が必ず狙う“見えない場所”

攻撃者は、管理者が確認しないことを前提に、

• サーバの深い階層

• プラグインやライブラリ内部

• 一見無害なファイル名

を選びます。

結論

目に見える改ざんを直しただけでは、
根本的な解決にはなりません。

4．バックドアと起爆ファイルの正体

4-1．バックドアとは何か

バックドアとは、
攻撃者が再侵入するために設置する裏口です。

管理画面を経由せず、
特定のURLやパラメータにアクセスするだけで
自由にコードを実行できるようになっています。

4-2．なぜ時間差で再発するのか

バックドアは、
すぐに動作しないよう設計されていることがあります。

• 一定期間後

• 特定のアクセスがあった時

• 管理者が油断した頃

を狙って再起動するため、
「直ったと思った後」に再発するのです。

4-3．起爆ファイルが残ると何が起きるのか

起爆ファイルは、

• 再度マルウェアを生成する

• 削除された不正コードを復元する

といった役割を担います。

ポイント

起爆ファイルが残っている限り、
ハッキングは何度でも繰り返されます。

5．なぜ一般的な制作会社では対応しきれないのか

5-1．Web制作とセキュリティ対応は別分野

多くのWeb制作会社は、

• デザイン

• HTML / CSS

• WordPress構築

を専門としています。

一方で、

• サーバ内部構造

• 攻撃手法の理解

• マルウェア解析

は、まったく別の専門領域です。

5-2．「表示が直った＝復旧完了」という誤解

制作視点では
「表示が直れば問題なし」
と判断されがちですが、

セキュリティの視点では、
それはスタートラインに過ぎません。

6．フォレストが考える「再発しない復旧」とは

6-1．フォレストが定義する“本当の復旧”

フォレストでは、

• 侵入経路の特定

• バックドアの完全排除

• 再侵入防止策の実装

まで行って、初めて
**「復旧完了」**と考えます。

6-2．自動削除をしない理由

自動削除は便利ですが、

• 正規ファイルの誤削除

• サイト崩壊

というリスクがあります。

そのためフォレストでは、
人の目による確認を重視しています。

6-3．人の目による最終判断の重要性

コードを読み、

• なぜそこにあるのか

• 何をしようとしているのか

を判断できるエンジニアの存在が、
再発防止には不可欠です。

7．独自スキャン・駆除プログラム「Forest Rescue」とは

7-1．一般的なウイルススキャンとの違い

Forest Rescueは、
既知パターンだけでなく、

• ファイル構造

• 挙動

• 不自然な配置

を総合的に評価します。

7-2．挙動・構造・不自然さを検知する仕組み

• CSSや画像に混入したPHPコード

• 不自然なファイル名

• 実行されるはずのない場所での処理

を重点的に検知します。

7-3．正規ツールを守るホワイトリスト設計

フォレストが使用する管理ツールは
あらかじめ除外設定されており、
誤削除を防止しています。

8．なぜフォレストは「一括削除」を行わないのか

8-1．一括削除が招く重大リスク

一括削除は、

• サイト停止

• データ消失

という大きなリスクを伴います。

8-2．隔離・履歴管理・復元可能性

削除ではなく、

• 隔離

• 履歴保存

• 復元可能

という設計を採用しています。

8-3．“消す”より“管理する”という考え方

重要なのは、
「とにかく消す」ことではなく、再発させない状態を作ることです。

9．WordPressハッキング再発を防ぐために本当に必要な対策

9-1．サーバー権限と構成の見直し

• 不要な書き込み権限の削除

• 実行権限の最小化

が不可欠です。

9-2．管理画面・ログイン経路の防御

• 管理URLの制限

• 二段階認証

により侵入リスクを下げます。

9-3．継続的な監視とアップデート管理

一度直して終わりではなく、
継続的な監視体制が必要です。

10．WordPressのハッキングは「終わらせる」ことができる

10-1．再発するサイトと止まるサイトの違い

違いは、
表面だけ直したか、根本を直したか
それだけです。

10-2．被害を繰り返さないために必要な視点

• 原因を疑う

• 仕組みを理解する

• 専門家に任せる

この3つが重要です。

おわりに｜「とりあえず直った」で終わらせないために

Webサイトは、
企業にとって重要な資産であり、
24時間働く営業拠点です。

ハッキング被害を
「一時的なトラブル」で終わらせるのか、
「二度と起きない仕組み」に変えるのか。

フォレストは、
サーバ運用とプログラム開発の両面から、
お客様のサイトを守り続けます。

もし、
何度も繰り返すWordPressのハッキング被害に
お悩みであれば、ぜひ一度ご相談ください。