感染が発覚したら最初に何をすべきか?WordPressマルウェア対応の「一次隔離」を解説

感染が発覚したら最初に何をすべきか?WordPressマルウェア対応の「一次隔離」を解説

「マルウェアに感染していると言われた。でも、まず何をすればいいのかわからない」——感染が発覚した直後は、パニックになってしまうのは当然のことです。しかしここで焦って誤った対処をすると、被害が拡大したり、のちの調査に必要な証拠が失われたりするリスクがあります。

感染対応において最初にすべきことは、マルウェアをすぐに削除しようとすることではありません。まず行うべきは「一次隔離」——被害をこれ以上広げないための初動対応です。火災で言えば、初期消火よりも先に避難経路を確保し、延焼を防ぐ行動にあたります。

この記事では、WordPressセキュリティの視点から、感染発覚直後に行うべき一次隔離対応の内容と、その理由を解説します。正しい初動を踏むことが、確実な復旧への最短経路です。

メンテナンスモードとアクセス遮断——被害の”出口”を塞ぐ

メンテナンスモードとは、サイトへの一般訪問者のアクセスを一時的に遮断し、「現在メンテナンス中です」という案内ページのみを表示する状態のことです。感染が発覚した直後にまず行うべき対応のひとつがこれです。

感染したまま一般公開を続けることには、以下の深刻なリスクがあります。まず、訪問者のブラウザ上でマルウェアが実行され、訪問者のデバイスが二次感染する可能性があります。次に、訪問者が偽のログインページや詐欺サイトに誘導され、個人情報を盗まれる被害が発生し続けます。さらに、Googleのクローラーが感染状態のサイトを継続的にインデックスし、「このサイトは危険です」という警告表示がGoogle検索結果に付与されるリスクが高まります。このGoogle側のブラックリスト登録は、感染除去後もSEO評価の回復に時間がかかる深刻な二次被害です。

アクセス遮断は、メンテナンスモードの設定だけでなく、ホスティング会社のコントロールパネルからサイト全体を非公開にする、またはサーバーレベルでIPアクセス制限をかけるという方法でも行えます。特に、ホスティング会社からすでにアカウントを停止されている場合は、事実上の強制的なアクセス遮断が行われている状態です。この場合は焦って再開通を求めるのではなく、停止されたままの状態で専門家による調査を先に行うことが正しい順序です。

なお、メンテナンスモードへの切り替えはWordPressの管理画面にログインできることが前提ですが、すでに管理画面への侵入も疑われる場合は、FTP経由でファイルを操作する方法や、ホスティング会社への連絡によってサーバーレベルで対応する方法を取ります。

▶ 専門家に依頼すると:管理画面・FTP・サーバーパネルのいずれの状況でも対応できる最適な遮断方法の選択と実施、Googleサーチコンソールへの報告対応、ブラックリスト登録状況の確認を行います。

パスワード変更とFTP停止——攻撃者の”入口”を塞ぐ

攻撃者の"入口"を塞ぐ

アクセス遮断で被害の出口を塞いだ次に行うべきことは、攻撃者がサーバーに侵入し続けるための入口を塞ぐことです。その中心となるのがパスワード変更とFTP停止です。

パスワード変更とは、感染したWordPressサイトに関わるすべての認証情報を新しいものに差し替えることです。変更すべき対象は、WordPressの管理者アカウントのパスワードだけではありません。以下のすべてを順番に変更する必要があります。

・WordPressの全ユーザーアカウントのパスワード
・ホスティング会社のコントロールパネルのログインパスワード
・FTPアカウントのパスワード
・データベース(MySQL)のパスワード(wp-config.phpへの反映も必要)
・サーバーに登録されているメールアカウントのパスワード

特にデータベースのパスワードを変更した場合は、wp-config.phpに記載されている接続情報も同時に更新しないとWordPressが動作しなくなるため、この作業はセットで行う必要があります。また、パスワードの変更に使用するデバイスやネットワーク自体がマルウェアに感染していないかも確認したうえで行うことが重要です。

FTP停止とは、FTP(ファイル転送プロトコル)によるサーバーへのファイルアクセスを一時的に無効化することです。FTPはサーバー内のファイルを直接操作できる強力なアクセス手段であり、FTPアカウントの認証情報が漏えいしていた場合、攻撃者はここからサーバー内のファイルを自由に書き換え続けることができます。

感染対応中は、FTPアクセスを完全に停止するか、接続元IPアドレスを特定の許可リストのみに限定することで、不正なFTPアクセスを遮断します。FTPの代わりに、より安全なSFTP(SSH File Transfer Protocol)のみを許可する設定に変更することも有効な対策です。

▶ 専門家に依頼すると:すべての認証情報の安全な変更手順の指示と実施確認、FTPアクセスの停止およびSFTPへの切り替え設定、変更後の動作確認とwp-config.phpの整合性チェックを行います。

バックアップ確保——感染状態であっても”記録”を残す理由

一次隔離の最後のステップとして、多くの人が見落としがちな重要な作業があります。それがバックアップ確保です。

バックアップとは、サーバー上のファイルとデータベースの現時点での状態を丸ごとコピーして保存することです。「感染した状態のバックアップを取っても意味がないのでは?」と思われるかもしれませんが、感染状態であっても今すぐバックアップを確保すべき理由が複数あります。

まず、調査・証拠保全のためです。感染の原因特定や侵入経路の調査には、感染当時のファイルとデータベースの状態が必要です。クリーンアップを先に進めてしまうと、攻撃者が残した痕跡や証拠が消えてしまい、根本原因の特定が困難になります。専門家が侵入経路を正確に特定するためには、感染時の状態がそのまま保存されていることが非常に重要です。

次に、復旧判断の基準点として使うためです。クリーンアップ後に「どのコンテンツが正常で、どのコンテンツが攻撃者に追加されたものか」を判断するときに、感染時のスナップショットが比較対象として機能します。

また、ホスティング会社がアカウントを停止している状況では、停止と同時にサーバーデータが削除されるリスクもゼロではありません。その前にデータを確保しておくことは、最悪の事態を避けるための保険でもあります。

バックアップの取得先は、感染しているサーバーの中ではなく、外部のストレージ(ローカルPC・クラウドストレージなど)に保存することが原則です。感染したサーバー内にバックアップを置いても、バックアップ自体が感染している可能性があり、クリーンアップ後の復元に使えないからです。

なお、感染状態のバックアップはあくまで「調査・証拠用」であり、そのまま復元に使ってはいけません。復元に使うべきは、感染以前の正常な状態のバックアップです。感染以前のバックアップが存在するかどうかの確認も、この段階で合わせて行います。

▶ 専門家に依頼すると:感染状態のサーバーからの安全なバックアップ取得、感染以前のバックアップデータの有無と健全性の確認、バックアップデータを用いた侵入経路・感染タイミングの特定調査を行います。

この記事のまとめ

WordPressのマルウェア感染が発覚した直後に行うべき一次隔離対応は、以下の3段階で構成されます。

  1. メンテナンスモード・アクセス遮断:訪問者への被害拡大とGoogleブラックリスト登録を防ぐ
  2. パスワード変更・FTP停止:攻撃者がサーバーに侵入し続けるためのすべての入口を塞ぐ
  3. バックアップ確保:感染状態を証拠として保全し、調査と復旧判断の基準を確保する

この3つの初動対応は、「マルウェアを削除する」という本格的なクリーンアップ作業の前に行うべきことです。順序を間違えて先に削除作業を始めると、証拠が消えて原因特定が困難になり、結果として再感染を繰り返すリスクが高まります。

一次隔離のそれぞれのステップは、一見シンプルに見えても、サーバーの構成やホスティング環境・感染の状況によって正しい手順が異なります。特にパスワード変更やFTP設定の変更はミスが即座にサイトの完全停止につながるリスクがあり、慎重な手順が必要です。

「感染した。何かしなければ」という焦りの気持ちはよく理解できますが、誤った初動が復旧をさらに困難にします。感染が発覚したら、一次隔離の各ステップをWordPressセキュリティの専門家の指示のもとで実施することが、最も安全で確実な復旧への道です。まずは専門家への相談を最優先にしてください。

一次隔離対応 語彙辞典

一次隔離対応 語彙辞典

本辞典は、マルウェア感染によりサイトが停止してしまった方が、被害の拡大(外部へのさらなる攻撃や二次感染)を防ぎ、安全に復旧作業を進めるために「サイトを一時的に安全な状態へ閉じ込める」(一次隔離対応)ための必須キーワード集です。

■ 1. 一次隔離(Triage / Isolation)

これ以上の被害拡大や情報流出を防ぐため、感染したサイトをネットワークや一般ユーザーから一時的に切り離し、安全な調査環境を確保する応急処置のこと。

■ 2. メンテナンスモード(Maintenance Mode)

サイトの画面に「ただいまメンテナンス中です」といった案内を表示し、一般アクセスの遮断と、裏側での復旧作業を両立させる状態。プラグインやコード(.htaccess)で制御します。

■ 3. IPアドレス制限(IP Access Restriction)

サーバーへのアクセスを、作業者(あなた)のIPアドレスだけに限定する設定。攻撃者からの追撃や自動化されたツールによる遠隔操作を、水際で完全にシャットアウトします。

■ 4. パーミッションの厳格化(Restricting File Permissions)

隔離期間中、これ以上のファイルの書き換えを防ぐために、重要ファイル(wp-config.phpや.htaccessなど)の権限(パーミッション)を「400(所有者の読み取りのみ)」等に一時的に引き下げる処置。

■ 5. プラグインの一括無効化(Deactivating All Plugins)

マルウェアの活動源となっている可能性のあるプラグインをすべて停止すること。管理画面に入れない場合は、サーバー上の「plugins」フォルダー名を一時的に変更することで強制無効化します。

■ 6. 暫定アカウント(Temporary Admin Account)

既存の管理者アカウントが乗っ取られているリスクに備え、調査・復旧作業専用として一時的に作成する、強力なパスワードを設定した安全な管理者ユーザーのこと。

■ 7. ソルト(Authentication Unique Keys and Salts)

wp-config.php内に記述されている、暗号化(クッキーやセッション)のための秘密のランダム文字列。これを変更(再生成)することで、現在ログイン中のすべてのユーザー(攻撃者含む)を強制ログアウトさせます。

■ 8. データベース(DB)パスワードの変更

WordPress本体とデータベースを繋ぐパスワードをサーバー側で変更すること。これにより、ファイル内に仕込まれたマルウェアがデータベースへ不正にアクセス・改ざんするルートを物理的に遮断します。

■ 9. 現状バックアップ(As-is Backup)

隔離対応を行う「直前」の、マルウェアに汚染された状態のままのファイルとデータベースを丸ごと保存すること。原因究明のための証拠保全や、作業ミスによる完全崩壊を防ぐために必ず行います。

■ 10. ローカル環境への複製(Staging Environment / Local Copy)

本番サーバー上での作業リスクを避けるため、隔離したサイトのデータを自身のパソコン内(ローカル環境)に再現すること。安全な「実験場」として、マルウェアの駆除テストを行えます。

お問い合わせはこちら

サービスに関するご相談・お見積りなど、お気軽にお問い合わせください。

お問い合わせフォームへ