相談事例 /
wordpress-rescue
WordPress サイトがマルウェア感染し検索順位崩壊、48時間で完全復旧した事例
課題
WordPress サイトが乗っ取られ、Google検索結果から海外サイトにリダイレクト。ペナルティで検索順位も崩壊。
解決策
感染源特定・改ざんファイル除去・コア再インストール・全パスワード変更・Google Search Console 復旧申請を48時間で実施。
成果
検索からのリダイレクトを完全除去。1ヶ月で検索順位も元のレベルに回復。再発防止策で以降の被害ゼロ。
## ご相談時の状況
社労士法人のお客様から、緊急相談フォーム経由で午前9時にご連絡をいただきました。「Google検索でうちのサイトをクリックすると、見覚えのない海外サイトに飛ばされる」というご報告です。
さっそく検証してみると、確かに Google 検索結果からのアクセス(リファラが google.com)の場合のみ、www.例.com/casino-jp/ という海外カジノサイトに 301 リダイレクトされる状態でした。直接URLを入力した場合は正常に表示されるため、お客様自身は気づくのに2週間ほどかかったとのことでした。
さらに悪いことに、Google Search Console には「ハッキングされたコンテンツ」という警告が表示されており、検索順位が大幅に下落していました。「社労士 東京」での順位が3位→18ページ目に下落するほどでした。
## 緊急対応(初動24時間)
依頼の翌朝(午前2時)から作業を開始しました。
最初に行ったのは、サイトのメンテナンスモード化です。これ以上ユーザーへの二次被害が広がらないよう、まずサイト全体を「メンテナンス中」の表示にしました。
次にバックアップ取得。これは絶対に省略してはいけないステップです。「修復してみたら逆に壊してしまった」という事故を防ぐため、現状のファイルとデータベースを完全にバックアップしました。
それから感染源の特定。サーバのアクセスログ、FTPログ、PHPのエラーログを精査したところ、3ヶ月前のある日に、特定のIPアドレス(ロシア圏)から大量の FTP ログイン試行があり、その後 wp-content/plugins/ に見覚えのないフォルダが作成されていることが分かりました。これがバックドアでした。
wp-cli の checksum 検証コマンドで、WordPress コアファイルとプラグインの改ざんを検出。footer.php と header.php に難読化された JavaScript が埋め込まれていることを確認しました。また、wp-admin/maint/ にバックドア用の PHP ファイルが配置されていました。
## 復旧作業(24-48時間目)
感染源の特定が終わったら、改ざんファイルを一つひとつ除去していきます。
WordPress コアファイル: 全削除して同バージョン(6.4.2)を再ダウンロード・再配置。プラグイン: 不要なものは削除、必要なものは最新版で再インストール。テーマ: 改ざんされていた箇所をクリーンなバックアップから復元。データベース: wp_options テーブルの home / siteurl の確認、wp_users テーブルに不審なユーザーが追加されていないか確認、wp_posts に不審なコンテンツが投稿されていないか確認。
感染除去後、すべてのパスワードを変更しました。FTP、SSH、WordPress 管理画面、データベース、レンタルサーバ管理画面の5種類。さらに、WordPress 管理画面のログインURLを /wp-admin/ から推測しにくいパスへ変更し、二段階認証も有効化しました。
## SEO 復旧と再発防止
感染除去後、Google Search Console から「セキュリティ問題」の「審査をリクエスト」しました。Google は 1〜2日で再審査を行い、問題が解消されていれば検索結果の警告表示が消えます。お客様の場合は依頼から3日後に警告解除されました。
再発防止として、Wordfence Security プラグインを導入し、Web Application Firewall(WAF)を有効化。プラグイン・テーマ・WordPress 本体の自動更新を設定。日次バックアップを自動化し、別拠点にも保管するよう設計しました。
## 結果と効果
感染除去から1ヶ月で、検索順位は元のレベルに完全回復しました。「社労士 東京」での順位が再び3位に戻り、サイト経由の問合せも通常時の水準に戻りました。
お客様からは「もうWordPress を辞めようかと思っていたが、対策を取ればここまで安全にできるとわかった。引き続き安心して使えます」とのお声をいただきました。
このケースの教訓は、定期的なバージョンアップとセキュリティ対策の重要性です。今回の感染は古いプラグインの脆弱性が原因でしたが、自動更新を有効化していれば防げた可能性が高いです。
社労士法人のお客様から、緊急相談フォーム経由で午前9時にご連絡をいただきました。「Google検索でうちのサイトをクリックすると、見覚えのない海外サイトに飛ばされる」というご報告です。
さっそく検証してみると、確かに Google 検索結果からのアクセス(リファラが google.com)の場合のみ、www.例.com/casino-jp/ という海外カジノサイトに 301 リダイレクトされる状態でした。直接URLを入力した場合は正常に表示されるため、お客様自身は気づくのに2週間ほどかかったとのことでした。
さらに悪いことに、Google Search Console には「ハッキングされたコンテンツ」という警告が表示されており、検索順位が大幅に下落していました。「社労士 東京」での順位が3位→18ページ目に下落するほどでした。
## 緊急対応(初動24時間)
依頼の翌朝(午前2時)から作業を開始しました。
最初に行ったのは、サイトのメンテナンスモード化です。これ以上ユーザーへの二次被害が広がらないよう、まずサイト全体を「メンテナンス中」の表示にしました。
次にバックアップ取得。これは絶対に省略してはいけないステップです。「修復してみたら逆に壊してしまった」という事故を防ぐため、現状のファイルとデータベースを完全にバックアップしました。
それから感染源の特定。サーバのアクセスログ、FTPログ、PHPのエラーログを精査したところ、3ヶ月前のある日に、特定のIPアドレス(ロシア圏)から大量の FTP ログイン試行があり、その後 wp-content/plugins/ に見覚えのないフォルダが作成されていることが分かりました。これがバックドアでした。
wp-cli の checksum 検証コマンドで、WordPress コアファイルとプラグインの改ざんを検出。footer.php と header.php に難読化された JavaScript が埋め込まれていることを確認しました。また、wp-admin/maint/ にバックドア用の PHP ファイルが配置されていました。
## 復旧作業(24-48時間目)
感染源の特定が終わったら、改ざんファイルを一つひとつ除去していきます。
WordPress コアファイル: 全削除して同バージョン(6.4.2)を再ダウンロード・再配置。プラグイン: 不要なものは削除、必要なものは最新版で再インストール。テーマ: 改ざんされていた箇所をクリーンなバックアップから復元。データベース: wp_options テーブルの home / siteurl の確認、wp_users テーブルに不審なユーザーが追加されていないか確認、wp_posts に不審なコンテンツが投稿されていないか確認。
感染除去後、すべてのパスワードを変更しました。FTP、SSH、WordPress 管理画面、データベース、レンタルサーバ管理画面の5種類。さらに、WordPress 管理画面のログインURLを /wp-admin/ から推測しにくいパスへ変更し、二段階認証も有効化しました。
## SEO 復旧と再発防止
感染除去後、Google Search Console から「セキュリティ問題」の「審査をリクエスト」しました。Google は 1〜2日で再審査を行い、問題が解消されていれば検索結果の警告表示が消えます。お客様の場合は依頼から3日後に警告解除されました。
再発防止として、Wordfence Security プラグインを導入し、Web Application Firewall(WAF)を有効化。プラグイン・テーマ・WordPress 本体の自動更新を設定。日次バックアップを自動化し、別拠点にも保管するよう設計しました。
## 結果と効果
感染除去から1ヶ月で、検索順位は元のレベルに完全回復しました。「社労士 東京」での順位が再び3位に戻り、サイト経由の問合せも通常時の水準に戻りました。
お客様からは「もうWordPress を辞めようかと思っていたが、対策を取ればここまで安全にできるとわかった。引き続き安心して使えます」とのお声をいただきました。
このケースの教訓は、定期的なバージョンアップとセキュリティ対策の重要性です。今回の感染は古いプラグインの脆弱性が原因でしたが、自動更新を有効化していれば防げた可能性が高いです。