ワードプレスのサイトが改ざんされていないかチェックする

衝撃的な記事を見つけたよ

こんな記事を見つけたよ。

放置された“野良サイト”が狙われる! WordPress改ざん傾向の変化と事例解説
Web担当者Forum
https://webtan.impress.co.jp/e/2026/01/09/51740

・・・怖いなぁ。以前に勤めていた学校、サイト乗っ取られたことあるんだよね。
今は対策してるけど・・・←乗っ取られる約2か月前、学校のサイトがリニューアル。
レイアウトが崩れていたので、なにげに検証ツールで見たら、たくさんエラーが出てた。
所長に「大丈夫なんですかね?」って言ったら「そういうのはほとんどの人は見ないでしょ?」とのこと。その約2か月後くらいに、乗っ取られた。まぁー授業中(正確には他のクラスも)大騒ぎだったわね(エロサイトになってて、クラスが盛り上がったなーw)
サイトの乗っ取りって、ホントにあるんだなーって感じたし、レイアウト崩れを放置しておくのは危険なんだな~と感じたよ。
ただ、記事の内容からいくと、昔のように「トップページが書き換えられる」みたいな、派手な乗っとりは減って、逆にじわじわ侵入して内部で増殖する攻撃が増加しているもよう。

記事を自分なりにまとめると・・・

攻撃の今の主流

→ プラグインの脆弱性 × 野良サイト × 放置 が狙われる

攻撃は静かに、長期間、内部で広がる

→ 目に見えない“がん型”に変化

最もリスクの高い状態

  • 何のプラグインか分からない
  • 担当が不在
  • 更新されていない
  • 放置したサブサイトがある

個人的に記事の中で印象的な部分

上場企業が持っているWebサイトの約3割がワードプレス

記事の中からいくと、上場企業が持っている公開Webサイトの、約3割近くがワードプレスで作られているってことになるよ。
計算(ワードプレス)5,319 ÷(総URL数)19,265 × 100 = 約 27.6%(約28%)

DataSign社の「上場企業CMS調査レポート」によると、2025年8月時点で、日本の上場企業3,807社が保有するWebサイト(総URL数)19,265のうち、WordPressが使用されているドメイン数は5,319サイトだ。対前年比で389サイト増えており、利用されているCMSはWordPressが圧倒的に多い。

プラグインの入れすぎ・管理不足が危険

ワードプレスが弱いわけではなくて、弱点の96%がプラグイン由来らしい

数字だけ見ると、WordPress自体が危険なものに思えるかもしれないが、脆弱性の96%はプラグインに起因している。“コア”と呼ばれるWordPress本体にまつわる脆弱性は、8,223件のうちわずか5件のみ。

そして、放置された・誰も管理していないサイトが特に危険みたい。

うっかりミスが重大事故の引き金になる

この記事の中では、よくあるうっかりミスが、大きな事故につながるということが書かれていて、冷や汗もの😰

記事の内容では(記事は専門的な言い回しだったので、表現をかえているけど、内容は同じ)

  1. 会員限定のサイトなのに「ログインすれば誰でも管理画面を触れる」状態にしている
  2. WordPressの管理パスワードを他のサービスと同じにしている、チーム全員が同じパスワード
  3. 退職したスタッフや、契約が終わった制作会社のアカウントをそのまま放置
  4. サイトのデータをコピーしたファイルを誤って「Web上から見える場所」に置いてしまう
  5. データベース接続情報(ユーザー名・パスワード)を「暗号化せず誰でも見える場所」に置いてしまう
  6. サイトの住所であるドメイン(例:example.com)の更新を忘れる

・・・ということみたい。うっかりやってしまいそうで怖い😱

・・・で、自分はこうしようと思う

まず、昔作ったサイトの把握と、退職者のアカウント削除の確認
プラグインを減らす(必要最低限のみ)
WordPressの更新・プラグインの更新をする
管理画面にログイン試行回数制限などをいれる(ログインURLもできれば変更しておく)
公開領域に「不要ファイルが置かれてないか」のチェックをする
サイトのバックアップを定期的にとる
・・・ほかにもあるんだろうけど、今の自分のレベルでいうと~、な感じ🤔
・・・と、いうことでチャットGPTにお知恵を頂く。↓↓↓↓

Webサーバーをスキャンしてくれる無料ツール

ちなみに、サイトチェックで見てみるのも簡易的にはよさそげ。

サイトチェック(無料・簡易版)⇒ https://sitecheck.sucuri.net/

↓URLを入れると、こんな感じでスキャン結果が出る

公開領域に「本来ないファイル」があるか、確認

ネット上に公開される場所、たとえばエックスサーバーだったら、ドメインが設定されているフォルダの「public_html」を開いて確認。

ワードプレスのフォルダの中に、こんなのがあれば危ない

↓チャットGPTに教えてもらった危ないファイル例

  • backup.zip
  • db.sql
  • test.php
  • info.php
  • old.zip
  • adminer.php
  • ※意味不明なファイル名(例:a1b2.php、xx.php)
  • .bak / .old / .temp など
  • functi0ns.php(0=ゼロ)
  • wp-confg.php(iがない)
  • wp-adm1n.php(1が混ざってる)
  • 自分で作ったバックアップ(.zip)が置きっぱなし…

wp-content の中の「uploads フォルダ」も見てみよう

ここには 本来「画像・PDF」しか入らないらしい。 以下の場合は要注意。

  • .php ファイルがある
  • .zip ファイルがある
  • 意味不明なファイル

wp-content の中の「plugins フォルダ」も見てみよう

知らないプラグインが増えていないか? 以下の場合は要注意。

  • 見覚えのないフォルダ
  • 無意味な名前(abc123/wp-test など)

wp-content の中に「mu-plugins フォルダ」がある?

通常、このフォルダは「ない」場合も多い(=ないのは正常)
中に知らない .php ファイルがあれば、ほぼアウト。

  • security.php(偽物)
  • update.php
  • functions.php(偽装版)
  • strings.php

不明なファイルを見つけたとき

すぐに削除しない(本当に必要なファイルだった場合、サイトが壊れる)
①ファイル名をメモ
②中身を開いて「何を書いているか」見る。分からないと思うのでチャットGPTなどで調べる。
③※危険だと確定した場合、まだ消してはいけない(ここからが大変)← サイトの復元をする

・・・危険なファイルを見つけてしまった時が、またまた手順がすごいみたいなので、そうならないように、日頃から手を入れておくというか、見ておくのが良い気がする(手が入っていると狙われにくい気がするの)