先日、サイトが改ざん被害にあったため復旧するまでの流れを記録として残します。
同じ状況になった人の参考になれば嬉しいです。
Search Consoleからの通知
発端はある一通のメール。
朝、いつものようにメールボックスを確認していたら、Search Consoleからこんな通知が届いていました。
だ、誰!?!?!?!?
追加されたメールアドレスはまったく知らないもの。
一瞬迷惑メールを疑いましたが、ちゃんとSearch Consoleからのものだったので不審なユーザーが追加されていないか確認します。
特に怪しい点はなさそう。
怪訝に思いつつも念のためサイトを確認……
改ざんされとる!!!!!
は!?え!?!?やばいやばい、とここら辺から一気に焦り始めます。
▼元のページ
googleのヘルプページを確認してみる
いつ!?どこから!?などと疑問は尽きませんが、先ほどのメールに「新しい所有者に覚えがない場合」という文言があったので詳しく見てみます。
本格的にやばい気がする~~~!!
サイトがハッキングされた(書き換えられた)ということは、どこかからFTP情報が漏れたかも!googleアカウントもやばいかも!Wordpressも入ってるのでそっちもやばいかも!ということで、まずはパスワードの変更から行っていきます。
- googleアカウントのパスワードの変更
- WordPressのパスワードの変更
- FTPのパスワードの変更
- データベースのパスワード変更
データベースの被害はないようでしたが、FTPが書き換えられていたので念のため変更。
被害規模の確認
次に、どこまで改ざんされてしまったのかを確認していきます。
中身を見てみるとTOP以外の全フォルダに見覚えのない「index.html」「sitemap.xml」「robots.txt」が設置されていました。
▼robots.txt
User-agent: *
Allow: /
Sitemap: https://○○/news/sitemap.xmlrobots.txtはGoogle向けのファイルで、これは「Googleさん、このページを見てください!」という指示です。
▼sitemap.xml
<?xml version="1.0" encoding="UTF-8"?>
<urlset xmlns="http://www.sitemaps.org/schemas/sitemap/0.9">
<url>
<loc>https://○○/news/</loc>
<lastmod>2026-05-25</lastmod>
<changefreq>daily</changefreq>
<priority>1.0</priority>
</url>
</urlset>これは、「このURLをクロール(収集)してください!毎日更新される重要ページですよ!」という記述。
要はすでにある流入があるサイトの評価を横取りしてやろう!ということみたいです。
こ、小賢しい~~~!!人のサイトを使って検索順位を上げようとするな!
調べてみたところ、どうやら「SEOスパム」「クローキング」の被害に該当しそう。「検索エンジンの検索結果を不当に操作し偽サイトへ誘導する」ことが目的らしいです。
今回は海外の謎のスロットサイトに書き換えられていたのですが、カジノ・スロット・ギャンブルあたりのサイトはお金になりやすいみたい?
TOPページが乗っ取られていなかったのは、書き換えたことが気づかれないように正常サイトとして生かしたまま運用したかったからかもしれないですね。
- 不審な.htaccessが追加されていないか
- 「/test123」など存在しないURL開いて別サイト飛んだりしないか
- 「site:ドメイン名」で検索をかけて、見覚えのないURLやページが生成されていないか
- Search Consoleのインデックスに不審なページが追加されていないか
- データベース(記事など)が改ざんされていないか
朝の6:00前後の出来事のようなので、大体ハッキングされてから3時間後ぐらいに気づいたようです。
気づくのが遅れると検索エンジンからのペナルティが深刻になり、「サイトが検索にまったく引っかからなくなる」とかがありそうなので早めに気が付けてよかった。
なぜWordPressページが書き換えられていたのか
データベースが書き換えられていないのになぜ攻撃者のページが表示されていたか?についてですが、サーバーはディレクトリ内に index.html が存在するとそちらを優先表示することがあります。
例えば、本来はWordPressの記事が表示されるはずだった /news/ ディレクトリに、/news/index.htmlが置かれたことで、WordPressではなく攻撃者が用意したHTMLページが表示される状態になっていました。
これにより、データベースを書き換えずに改ざんできていたようです。
ページの復旧
ページをリストアした方が早いので、レンタルサーバー(今回はConoHa WING)の自動バックアップからサイトを復元していきます。
「ログイン>WING>サーバー管理>自動バックアップ」から「Web」の昨日の日付のデータをリストアを実行します。
ルートディレクトリに/backup_data_web/というフォルダができていればOKです。
/backup_data_web/public_htmlの中に復元データが格納されているので、乗っ取られたサイトのバックアップをすべて取った後、差し替え作業を行います。
WordPressのパスワードの変更を事前に行っている場合、ログイン情報が以前のままの「wp-config.php」を上書きしてしまうとデータベースに接続できなくなりデータベースエラーが起きてしまうため「wp-config.php」は上書きしないようにするか、差分を確認してから上書きをするようにしてください。
復旧完了!
無事全ページの復旧が完了しました!よかった~~~!!
原因と対策
WordPressの管理画面を開いた際に覚えのない管理者ユーザーが追加されていたため、今回の原因はおそらくWordPressだと推測されます。
パスワードかプラグイン・テーマ辺りが怪しい気がするので以下の対応を実施しました。
- 余分なプラグインの削除
- 二段階認証の追加
- 管理画面ページへのBasic認証の追加
- 管理画面URLの変更
これでしばらく様子を見たいと思います!皆さんもお気を付けください!!
