WordPressのどこまでが改ざんされた?感染後に確認すべき改ざん範囲の全体像を解説

WordPressのどこまでが改ざんされた?感染後に確認すべき改ざん範囲の全体像を解説

「不審なファイルをいくつか削除したのに、まだサイトがおかしい」「どこまで直せば完全に復旧できるのかわからない」「修正するたびに別の問題が出てきて終わりが見えない」——マルウェア感染の対応を自力で進めようとすると、こうした状況に陥りがちです。

その根本的な原因は、「改ざんがどこまで及んでいるか」を全体的に把握できていないことにあります。攻撃者はWordPressを構成するさまざまなレイヤーに同時に手を加えており、一部だけを修正しても別の箇所から再び症状が現れます。

この記事では、WordPressセキュリティの視点から、感染後に確認すべき改ざん範囲の全体像を5つの観点で解説します。復旧を確実に行うために、まず「何がどこまで汚染されているか」を正しく把握することが不可欠です。

コア改ざんとwp-config変更——WordPressの”土台”への攻撃

コア改ざんとは、WordPressの本体(コアファイル)を構成する公式ファイル群が攻撃者によって書き換えられた状態のことです。WordPressのコアファイルとは、wp-includes/ や wp-admin/ ディレクトリ以下に存在する数百のPHPファイル群で、WordPressのすべての基本機能を担っています。

これらのファイルは本来、公式が配布するものと完全に一致しているはずです。しかし攻撃者はその中に不正なコードを埋め込み、WordPressが動作するたびに悪意ある処理が一緒に実行される状態を作ります。コアファイルへの改ざんは影響範囲が非常に広く、サイト全体の動作に関わるため、ここが汚染されると他の対策をいくら施しても根本的な解決にはなりません。

さらに深刻なのが、wp-config.phpの変更です。wp-config.phpとは、WordPressとデータベースの接続情報・セキュリティキー・サイトの動作設定などが記述された、WordPressの中で最も機密性の高い設定ファイルです。このファイルを攻撃者が書き換えると、データベースへの接続先を攻撃者が管理するサーバーに向けたり、セキュリティキーを無効化して認証を形骸化させたり、デバッグモードを強制的にオンにして内部情報を外部に表示させたりすることが可能になります。

wp-config.phpの内容が攻撃者に知られただけでも、データベースのIDとパスワードが漏えいするため、データベース全体が掌握されるリスクがあります。

▶ 専門家に依頼すると:公式配布パッケージとのファイルハッシュ値の全件照合によるコア改ざんの完全検出、クリーンなコアファイルへの完全置き換え、wp-config.phpの内容精査とデータベース認証情報・セキュリティキーの再生成を行います。

テーマ改ざんとプラグイン改ざん——”拡張部分”に仕込まれる罠

テーマ改ざんとプラグイン改ざん

テーマ改ざんとは、WordPressのデザインと表示を制御するテーマファイルが攻撃者によって書き換えられた状態のことです。テーマはPHPファイル・CSSファイル・JavaScriptファイルで構成されており、すべてのページの表示処理に関与しています。そのため、テーマファイルへの改ざんはサイト全体の見た目や動作に直接影響します。

特に狙われやすいのが functions.php です。このファイルはテーマの動作をカスタマイズするための中枢ファイルで、ここに不正なコードを1行追加するだけで、すべてのページ表示時に悪意ある処理を実行させることができます。また、header.php や footer.php への改ざんも頻繁に行われます。これらはサイトのすべてのページに共通して読み込まれるファイルであるため、ここへの1箇所の書き込みがサイト全体の全ページに影響を与えます。

プラグイン改ざんとは、インストール済みのプラグインを構成するPHPファイルが書き換えられた状態です。WordPressサイトには平均して複数から数十のプラグインがインストールされており、それぞれが独自のPHPファイル群を持っています。攻撃者はこの中に不正コードを混入させますが、プラグインは数が多く、かつ各プラグインのファイル構成は様々であるため、どのファイルが正規のものかを判断するには各プラグインの公式バージョンとの照合が必要です。

また、使用中のテーマ以外に「有効化していない予備テーマ」がインストールされたままになっているケースも多く、これらも改ざんの対象になります。有効化されていないテーマであっても、URLを直接指定することでそのファイルにアクセスできる場合があり、バックドアの設置場所として悪用されます。

▶ 専門家に依頼すると:使用中・未使用を含む全テーマファイルの公式バージョンとの差分検出、全プラグインファイルの改ざん調査、不要なテーマ・プラグインの完全削除、クリーンなファイルへの置き換えを行います。

権限書き換え——”誰が何をできるか”を攻撃者が作り替える手口

権限書き換えとは、WordPressのユーザー権限設定やファイル・ディレクトリのアクセス権限が攻撃者によって変更された状態のことです。この改ざんは直接的にページを壊したり不正コードを実行したりするものではありませんが、攻撃者がサイトを継続的に支配するための”環境整備”として行われる非常に重要な工作です。

WordPressのユーザー権限に関しては、前の記事でも触れた不正ユーザーへの管理者権限付与に加え、既存の正規ユーザーの権限レベルを勝手に変更するケースがあります。例えば、本来は閲覧のみが可能な「購読者」ロールのユーザーに、プラグインのインストールや設定変更ができる「管理者」権限を付与しておく、といった操作です。これにより、一見すると無害な低権限ユーザーに見えながら、実際には管理者と同等の操作が可能な状態が作られます。

サーバー上のファイルパーミッション(ファイルへのアクセス権限設定)の書き換えも重大な問題です。ファイルパーミッションとは、そのファイルを「誰が読めるか・書き換えられるか・実行できるか」を定めたサーバーレベルの設定のことです。本来PHPファイルには書き込み権限を与えないのがセキュリティの基本ですが、攻撃者はマルウェアの設置を容易にするために重要なファイルの権限を緩め、誰でも書き込めるような設定に変更していることがあります。

この状態が放置されると、マルウェアを除去してもファイルの書き込み権限が開放されたままになっているため、再びファイルが書き換えられるリスクが残り続けます。また、逆に正規の管理者が自分のファイルを修正・更新できないよう権限を制限するケースもあり、復旧作業そのものを妨害する目的で使われることもあります。

さらに、WordPressのロール設定そのものをデータベース上で書き換えることで、本来の権限体系を崩壊させるケースも存在します。この場合は管理画面上の権限設定を確認するだけでは発見できず、データベースのユーザーロールデータを直接調べる必要があります。

▶ 専門家に依頼すると:全ユーザーの権限レベルとロール設定の精査・修正、全ファイル・ディレクトリのパーミッション設定の確認と適切な値への修正、データベース上のロール定義の正規化、最小権限の原則に基づいたアクセス制御の再設計を行います。

この記事のまとめ

WordPressのマルウェア感染による改ざんは、以下の広範囲にわたって同時多発的に行われています。

  1. コア改ざん・wp-config変更:WordPressの土台となる本体ファイルと最重要設定ファイルへの侵食
  2. テーマ改ざん・プラグイン改ざん:サイトの表示と機能を担う拡張ファイル群への不正コード混入
  3. 権限書き換え:ユーザー権限とファイルアクセス権限の改変による支配の継続と復旧妨害

これらの改ざんが厄介なのは、それぞれが独立して存在しているのではなく、互いに補完し合う形で機能している点です。コアファイルを直してもテーマに残ったバックドアから再感染し、ユーザー権限が書き換えられたままでは適切な復旧作業すら行えない——こうした状況が、自力対応を困難にしている本質的な理由です。

完全な復旧のためには、改ざんされた箇所を一部修正するのではなく、「WordPressを構成するすべての要素について、正規の状態からの差分を漏れなく洗い出す」という包括的なアプローチが必要です。

この作業は、公式ファイルとの照合ツール・サーバーログ解析・データベース精査・パーミッション監査を組み合わせて行う、専門的な知識と経験を要する作業です。改ざん範囲を正確に特定し、安全な状態への完全復元を確実に行うためには、WordPressセキュリティの専門家への依頼が最も確実で最短の解決策です。

「どこまで直せばいいかわからない」という状態から抜け出すために、まずは専門家による全体調査を受けることを強くおすすめします。

改ざん範囲の特定 語彙辞典

改ざん範囲の特定 語彙辞典

本辞典は、マルウェア感染によりサイトが停止してしまった方が、サーバー内の「どこからどこまでが攻撃者に汚染されてしまったのか」を正確に把握し、漏れのない完全な復旧作業を行う(改ざん範囲の特定)ための必須キーワード集です。

■ 1. 汚染範囲(Scope of Infection)

マルウェアや不正コードが埋め込まれたファイル、フォルダー、データベースなどの物理的な広がりのこと。ここを正確に見極めないと、復旧後にすぐ再発します。

■ 2. データベース改ざん(Database Injection)

ファイルだけでなく、WordPressの投稿データや設定が保存されている「データベース(MySQL)」の内部に、悪意あるスクリプト(JavaScriptなど)を直接注入されること。

■ 3. .htaccess(エイチティーアクセス)

Webサーバーの動きを制御する重要な設定ファイル。攻撃者はここに不正なコードを追記し、検索エンジンからアクセスした一般ユーザーだけを詐欺サイトへ強制転送(リダイレクト)させます。

■ 4. wp-config.php(ダブリューピーコンフィグ)

データベースへの接続情報などが書かれた最重要ファイル。このファイル自体にバックドアが仕込まれたり、不審な外部データベースへ接続先を書き換えられたりしていないかを確認します。

■ 5. テーマ・子テーマ(Themes / Child Themes)

サイトのデザインを決めるプログラム群。現在有効化しているテーマだけでなく、過去に使っていた「無効化されたテーマ」の内部にマルウェアが隠されているケースが多発します。

■ 6. プラグインディレクトリ(wp-content/plugins)

導入しているプラグインが格納される場所。正規のプラグインファイルの一部が改ざんされるケースと、プラグイン一覧に表示されない「偽装プラグイン(フォルダー)」を丸ごと新規設置されるケースがあります。

■ 7. アップロードフォルダー(wp-content/uploads)

通常は画像やPDFなどが保存される場所。本来はPHPプログラムが存在しないエリアであるため、ここに配置されているすべてのPHPファイルは「改ざん・不正設置」と特定できます。

■ 8. 隠しファイル(Hidden Files)

ファイル名の先頭に「.(ドット)」がついた、通常の設定では画面に表示されないファイル。攻撃者が検知を逃れるために、汚染フォルダー内にこっそり配置する手口があります。

■ 9. バージョン不一致(Version Mismatch)

現在インストールされているWordPressコアやプラグインのバージョンが、公式が配布している正規のコードと部分的に異なっている状態。改ざん箇所を特定するための重要なサインです。

■ 10. 管理者ユーザーの不正追加(Unauthorized Admin User)

WordPressの管理画面(ダッシュボード)に、身に覚えのない最高権限(管理者)のユーザーが勝手に作成されている状態。プログラムの改ざんだけでなく、システム上の「権限の汚染範囲」として必ず確認すべき項目です。

お問い合わせはこちら

サービスに関するご相談・お見積りなど、お気軽にお問い合わせください。

お問い合わせフォームへ