WordPressがハッキングされた場合の復旧は、「①隔離 → ②認証情報の総入れ替え → ③サイトのクリーン化 → ④侵入口を塞ぐ → ⑤Google警告の解除」の5フェーズで進めます。条件が揃えば自力復旧も可能ですが、絶対にやってはいけないのは原因不明のままの再公開——ほぼ確実に再発します。
この記事は、被害に気づいた直後の方のための実務マニュアルです。改ざんの兆候の見分け方や初動の考え方は別記事で解説しているため、ここでは「営業再開までの全行程」と「自分でやるか専門家に頼むかの判断ライン」に絞ります。(関連記事:Webサイトの改ざんとは?被害事例・気づき方・復旧手順)
復旧の全体像【5フェーズ】

| フェーズ | 目的 | やること |
|---|---|---|
| ①隔離 | 被害を広げない | サイトの一時非公開、証拠の保全 |
| ②認証情報の総入れ替え | 攻撃者を締め出す | 全パスワード変更、不審ユーザー削除 |
| ③クリーン化 | 汚染を取り除く | バックアップ復元 or クリーン再構築 |
| ④侵入口を塞ぐ | 再発を防ぐ | 全更新、不要物削除、防御強化 |
| ⑤警告解除 | 営業を再開する | Google審査リクエスト、ブラックリスト解除 |
順序が命です。特に「③クリーン化の前に②認証情報を変える」「⑤の前に④を終える」の2点を守らないと、攻撃者が再侵入して振り出しに戻ります。
フェーズ①②——隔離と、攻撃者の締め出し
- サイトを一時非公開にする——メンテナンス表示やBasic認証(サーバー側のアクセス制限)で訪問者への二次被害を止める。判断に迷ってもこれだけは先に
- 証拠を保全する——改ざん画面のスクリーンショット、サーバーのアクセスログ、現状のファイル一式のコピー。原因調査と警察相談の材料になるため、駆除の前に必ず確保
- 作業用パソコンのウイルスチェック——PCが感染源だと、パスワードを変えても再び盗まれます。チェック済みの端末で以降の作業を
- 認証情報を全部変える——WordPress全管理者・FTP・サーバーパネル・データベースのパスワード。あわせて管理画面のユーザー一覧を確認し、身に覚えのないアカウントを削除。この時点で二段階認証も有効化
フェーズ③——サイトのクリーン化【2つのルート】
ルートA:クリーンなバックアップがある場合(推奨)
改ざん発覚より十分前の世代のバックアップから、ファイルとデータベースを復元します。最短・最確実のルートです。注意点は2つ——復元後もフェーズ④(侵入口を塞ぐ)を必ず実施すること、そして「いつから侵入されていたか」が不明な場合は、復元した世代にも仕掛けが残っていないか不審ファイルの確認をすることです。
ルートB:使えるバックアップがない場合(クリーン再構築)
- WordPress本体を公式サイトから新規ダウンロードし、サーバー上の既存ファイルと総入れ替えする(汚染ファイルごと消すのが狙い)
- テーマ・プラグインも配布元から最新版を再取得する(サーバー上の既存コピーは使い回さない)
- 引き継ぐのは「アップロード画像(wp-content/uploads)」と「データベース」のみ。ただしuploads内に見覚えのないPHPファイルがないか、データベースに不審な管理者や埋め込みコードがないかを確認してから戻す
不審ファイルの典型は、「見覚えのない場所にあるPHPファイル」「意味不明な文字列だらけ(難読化)のコード」「最近の日付で勝手に更新されているファイル」です。ただし、巧妙なバックドアの完全な発見は専門家でも調査が必要な領域です。ルートBで自信が持てない場合は、この時点で専門業者への切り替えを検討してください。
フェーズ④——侵入口を塞ぐ(ここを飛ばすと再発します)
- WordPress本体・テーマ・プラグインをすべて最新版にする(侵入口の大半は古いプラグインの公表済み脆弱性です)
- 使っていないテーマ・プラグインを削除する
- PHPをサポート中のバージョンに上げる(関連記事:WordPressのPHPバージョンアップ完全ガイド)
- サーバーのWAFを有効化し、ログイン試行制限を導入する
- バックアップ体制を再構築する(今回の教訓を体制に変える)(関連記事:WordPressバックアップの正しい方法)
フェーズ⑤——Google警告・ブラックリストの解除
クリーン化が完了したら、検索とブラウザの警告を解除して営業再開です。
- Google Search Consoleの「セキュリティの問題」から審査をリクエストする——対処内容を簡潔に記入して送信します。審査には数日かかることがあります
- セーフブラウジングの状態を確認する——Googleの「セーフブラウジングサイトステータス」で自社URLを確認
- セキュリティ各社のブラックリストも確認する——ウイルス対策ソフトの警告が残る場合は、各社の解除申請窓口へ。迷惑メール送信の踏み台にされていた場合は、メールのブラックリスト解除も必要になることがあります
自分でやるか、専門家に頼むか——判断ライン
| 状況 | 判断 |
|---|---|
| クリーンなバックアップがあり、症状も単純(改ざんページの表示のみ等) | 自力復旧が現実的。この記事の手順で可 |
| バックアップがない/いつから侵入されたか不明 | 専門家推奨。駆除漏れ=再発リスクが高い |
| 問い合わせフォーム等で顧客情報を扱っている/ECサイト | 専門家必須級。漏洩調査と法的対応(本人通知・当局報告)の判断が絡むため |
| 一度復旧したのに再発した | 専門家へ。バックドアが残っている可能性が高い |
専門業者への依頼費用は、被害範囲にもよりますが数万円〜数十万円規模が目安です。高く感じるかもしれませんが、駆除漏れによる再発・信用毀損・営業停止の長期化と比べて判断してください。IPAの調査では、中小企業のインシデント復旧は平均5.8日を要しています。
よくある質問
Q. 復旧にはどれくらい時間がかかりますか?
クリーンなバックアップがあれば1〜2日、クリーン再構築なら数日、Google警告の解除審査にさらに数日、が目安です。IPAの調査では中小企業の平均復旧期間は5.8日でした。バックアップの有無が期間と費用の最大の分かれ目です。
Q. 「データを返してほしければ支払え」と要求されています。
支払わないのが原則です。支払ってもデータが戻る保証はなく、「支払う組織」として再攻撃の対象になります。証拠を保全し、都道府県警察のサイバー犯罪相談窓口(警察相談専用電話 #9110)へ相談してください。
Q. 復旧したのに数日でまた改ざんされました。
侵入口が塞がっていないか、バックドア(攻撃者の再入場口)が残っています。見た目の駆除だけでは不十分なサインなので、専門家による調査をおすすめします。再発は「駆除の失敗」であって「運が悪い」のではありません。
Q. 警察に届けるべきですか?
被害届・相談を推奨します。不正アクセスは犯罪であり、記録が残ることは保険請求や取引先への説明でも有利に働きます。個人情報の漏洩が疑われる場合は、個人情報保護委員会への報告・本人通知の要否も確認してください(法的判断は弁護士へ)。
まとめ——復旧のゴールは「元通り」ではなく「前より強く」
ハッキング復旧は、隔離→締め出し→クリーン化→侵入口封鎖→警告解除の5フェーズを順に進めれば必ず出口に着きます。そして本当のゴールは元通りにすることではなく、同じ穴を二度と使わせないことです。今やるべきことは次の3つです。
- 今まさに被害中なら——非公開化と証拠保全から。この記事の5フェーズを順に
- 復旧が済んだら——フェーズ④の再発防止をチェックリストとして完走する
- まだ被害がないなら——それが一番良いタイミングです。攻撃の入口が開いていないか、無料診断で先に点検してください

この記事を書いた人
Spyral(スパイラル)/「サイトの主治医」運営 代表 佐藤 秀之
2011年創業、東京都八王子市。情報セキュリティコンサルティング会社でシニアコンサルタントを務めた後に独立し、中小企業のWEB集客・サイト運用を14年支援。ゼロトラスト・セキュリティの研究(Zero Trust Resilience Lab)と現場経験をもとに、WordPress保守・脆弱性診断サービス「サイトの主治医」を運営しています。運営者情報 →
本記事は2026年7月時点の一般的な復旧手順です。復旧期間の統計はIPA「2024年度中小企業等実態調査」によります。個人情報漏洩時の法的対応は弁護士・個人情報保護委員会の案内をご確認ください。
