WordPressがマルウェアに感染!攻撃者はどこから侵入したのか?初期侵入経路を徹底解説
「突然サイトが表示されなくなった」「ホスティング会社からマルウェア感染の通知が届いた」「管理画面にログインできない」——そんな状況に陥っていませんか?
WordPressへの攻撃は、ある日突然起きるように見えて、実は攻撃者が事前に”入口”をしっかり調べたうえで実行されています。復旧のためにまず必要なのは、「どこから侵入されたのか」を正確に把握することです。
この記事では、WordPressセキュリティの視点から、攻撃者がよく使う3つの初期侵入経路をわかりやすく解説します。現状を正しく理解することが、復旧と再発防止への第一歩です。
管理画面への不正ログイン——攻撃者が最初に狙う”玄関口”
不正ログインとは、正規のユーザー以外の第三者が、盗んだパスワードや自動化ツールを使ってWordPressの管理画面に無断でアクセスする行為です。
攻撃者がよく使う手口のひとつが「総当たり攻撃(ブルートフォース攻撃)」です。これは、「admin」「password123」といったよくある文字列を機械的に大量に試し続け、正しいパスワードが見つかるまで攻撃を繰り返す方法です。WordPressのデフォルトのログインURLである「/wp-login.php」は世界中に知られているため、特に狙われやすい状態になっています。
また、過去に別のサービスで流出したIDとパスワードの組み合わせを使い回す「パスワードリスト攻撃」も頻繁に行われます。
管理画面を突破(=不正にログインに成功)されると、攻撃者はサイト内に自由にアクセスでき、マルウェアの設置・ユーザー情報の窃取・サイト改ざんなど、あらゆる悪意ある操作が可能になります。
▶ 専門家に依頼すると:ログイン試行ログの解析、不審なアカウントの特定・削除、二段階認証や管理画面URLの変更など、根本的なアクセス制御の見直しを行います。
脆弱プラグインと古いテーマ——内側から崩される”壁の穴”
脆弱プラグインとは、セキュリティ上の欠陥(脆弱性)を抱えたまま放置されているプラグインのことです。同様に、古いテーマとは、長期間アップデートされておらず、既知の攻撃手法が通用してしまう状態のデザインテンプレートを指します。
WordPressの機能を拡張するプラグインやテーマは非常に便利ですが、開発者が脆弱性を修正するアップデートを公開しても、サイト管理者が更新を怠っていると、攻撃者にとっての”抜け穴”がそのまま残り続けます。
攻撃者はインターネット上に公開されている脆弱性情報を常にチェックしており、「このプラグインのこのバージョンにはこういう穴がある」という情報をもとに、対象サイトを自動的にスキャンして攻撃を仕掛けてきます。管理画面へのログインすら不要で、外部からコードを実行できてしまうケースもあります。
使っていないプラグインがインストールされたまま放置されている場合も非常に危険です。更新されないまま残っているだけで、格好の侵入口になります。
▶ 専門家に依頼すると:インストール済みプラグイン・テーマの全棚卸しと脆弱性チェック、不要なものの削除、安全なバージョンへの更新、ファイル改ざんの有無を調査します。
侵入後の痕跡——マルウェアはどのように”居座る”のか
初期侵入に成功した攻撃者は、次に「再侵入できる仕組み」をサイト内に仕込みます。これが、一見復旧したように見えてもすぐに再感染してしまう原因です。
具体的には、バックドア(正規の認証を経ずにサイトに侵入できる隠し通路)と呼ばれるファイルをサーバー内に設置したり、既存のWordPressのコアファイルやプラグインのファイルの中に悪意あるコードを埋め込んだりします。
また、WordPress本体、プラグイン、テーマのファイルだけでなく、データベース内にも不正なコードが挿入されていることがあります。表面上はサイトが動いているように見えても、訪問者を別の危険なサイトへ自動転送したり、フィッシングページを表示させたりする処理がバックグラウンドで動き続けているのです。
自力での対処が難しい最大の理由は、「感染箇所の全件特定」が非常に困難な点です。見つけやすい場所だけを削除しても、隠れたバックドアが残っている限り、何度でも再感染します。
▶ 専門家に依頼すると:サーバー全体の静的解析・動的解析によるマルウェアの完全検出、バックドアの除去、データベースの精査、クリーンなWordPressへの完全復元を行います。
この記事のまとめ
WordPressへの攻撃は、主に以下の3つの経路から始まります。
- 管理画面への不正ログイン(総当たり攻撃・パスワードリスト攻撃による管理画面突破)
- 脆弱プラグイン・古いテーマの欠陥を突いた侵入
- 侵入後のバックドア設置による継続的な不正アクセス
重要なのは、「マルウェアを削除すれば終わり」ではないという点です。侵入経路が特定・修正されていなければ、同じ手口で何度でも攻撃されます。また、バックドアの痕跡は一般ユーザーには発見が困難なファイルやデータベースの深い部分に潜んでいることがほとんどです。
サイトの復旧と再発防止を確実に行うためには、WordPressセキュリティの専門家による調査・対応が不可欠です。「なんとなく復旧した気がする」という状態は最も危険です。一度、専門家に完全な状態チェックと対策を依頼することを強くおすすめします。
現在サイトが停止中・感染中の方は、一人で悩まず、まず専門家へご相談ください。
初期侵入経路調査 語彙辞典
本辞典は、WordPressサイトがマルウェア感染や改ざんの被害に遭い、サイト停止からの復旧を目指す方が「どこから攻められたのか」を特定(初期侵入経路調査)するための必須キーワード集です。
■ 1. 脆弱性(Vulnerability)
システムやプラグイン、テーマにおけるセキュリティ上の欠陥や弱点のこと。サイバー攻撃者はこの隙を突いてサイト内に不正に侵入します。
■ 2. バックドア(Backdoor)
一度侵入した攻撃者が、次回以降も管理者に見つからずにサイト内へ再侵入するために設置する、秘密の「裏口(不正プログラム)」のこと。
■ 3. 総当たり攻撃(Brute Force Attack)
「ユーザー名」と「パスワード」の組み合わせを、自動化されたツールを使って何万通りも試すことで、強引にログインを突破する攻撃手法。
■ 4. 資格情報詰め替え攻撃(Credential Stuffing)
他社サイトから漏洩したログインIDとパスワードのリストを悪用し、WordPressの管理画面にログインを試みる攻撃手法(パスワードの使い回しが原因)。
■ 5. アクセスログ(Access Log)
サーバーに「いつ、誰(IPアドレス)が、どのファイルに対して、何をしたか」を記録したデータ。侵入経路を特定するための最重要手がかり。
■ 6. ユーザーエージェント(User Agent / UA)
アクセスログに記録される、訪問者のブラウザやOS、または自動ツールの種類を示す情報。攻撃者が使用したツールの特定に役立ちます。
■ 7. ステータスコード(HTTP Status Code)
サーバーからの応答結果を表す3桁の数字。侵入調査では「200(成功)」や「403(拒否)」、「404(未検出)」の動きから不審なアクセスを追います。
■ 8. 不正書き換え(Tampering)
WordPressを構成するコアファイル(index.phpやwp-config.phpなど)や、通信を制御する「.htaccess」ファイルの内容が、攻撃者によって勝手に改ざんされること。
■ 9. タイムスタンプ(Timestamp)
ファイルが「いつ作成・更新されたか」を示す日時情報。マルウェアが設置された、または既存ファイルが改ざんされた「犯行時刻」を特定する基準になります。
■ 10. 管理画面(wp-admin / wp-login.php)
WordPressの各種設定や記事投稿を行う裏方のページ。初期侵入調査では、このログイン画面に対する攻撃履歴や、不審なIPアドレスからのログイン成功記録がないかを調べます。