自社サイトを開くと、変な広告や見覚えのないページが表示される。それ、改ざんされているかもしれない

こんな症状が出ていたら要注意

あなたのサイトに次のような症状が出ていませんか? これらは『WPドクター』『Wordpress.org』の事例・公式報告からまとめた、改ざんの典型的な症状です。

• サイトを開くと別のサイト(懸賞、アダルト、詐欺ソフト販売)にリダイレクトされる
• Google検索結果から流入したときだけリダイレクトされる(直接アクセスでは起きない)
• スマホ表示のときだけ変な広告が出る、リダイレクトされる
• Google検索で自社名を検索すると、作った覚えのないタイトルや説明文のページが出る
• WordPressの管理画面のユーザー一覧に身に覚えのないアカウントが追加されている
• サーバー会社から『スパムメールの送信元になっている』という通知が来た
• Google Search Consoleに『このサイトは第三者によってハッキングされている可能性があります』という警告が出た

2026年4月の最新事例:数千サイトが被害

2026年4月5日から6日、WordPressの人気プラグイン群『EssentialPlugin』がサプライチェーン攻撃の発動を受けました。Patchstack、TechCrunch、Anchor Hosting の各メディアが詳報しています。

• 2025年にEssentialPluginの開発元がFlippaで事業売却(6桁米ドル)
• 新所有者『Kris』(SEO・仮想通貨・ギャンブル広告の経歴)が初回のSVNコミットでバックドアを混入
• バックドアは8ヶ月間休眠状態で放置され、信頼を蓄積
• 2026年4月5〜6日に起動、数千サイトにスパム・リダイレクト・偽ページが注入された
• 4月7日、WordPress.orgが30本以上のプラグインを一斉に永久閉鎖
• 影響は40万件以上のインストール、15,000以上の顧客と推定

攻撃者は信頼されたプラグイン事業を『買収』することで、ハッキングを経ずに数十万サイトへのアクセス権を手に入れました。しかも仕込まれたスパムは Googlebot にだけ見えるよう設計され、サイト所有者が自分で見ても何も異常に見えない、という巧妙さでした。

攻撃者は、ハッキングよりも『買収』の方が安くて確実だということを発見した。ドメインを開いたときに『何も起きない』のは、安全の証明にはならない。

症状別・原因の解説

症状①:別サイトにリダイレクトされる

『WPドクター』の解説によると、最も多いのはテーマファイル(header.php、footer.php)や index.php に不正なJavaScriptが埋め込まれるパターンです。リダイレクト先は懸賞サイト、偽のウイルス対策ソフト販売ページ、アダルトサイトが多いです。

特殊な挙動として、Google検索からの流入のみ、スマホのみ、最初の1回のみ発動するケースがあります。Cookieを使って『一度リダイレクトしたユーザーには一定時間リダイレクトしない』という仕組みで検知を難しくしています。

症状②:検索結果に身に覚えのないページが出る

2024年のPatchstack『State of WordPress Security 2025』報告書によると、Sucuri社が2024年に検知した50万件以上の感染サイトの中で、最多の攻撃タイプは『Japanese SEO Spam』(27.77%)でした。これは日本語テキストと偽リンクを注入し、検索結果に大量の偽ページを表示させる手口です。

サイト所有者は通常のページを見る限り異常に気づけません。しかし検索エンジンには偽のコンテンツが見えており、検索流入が奪われ、SEO評価も下がっていきます。

症状③:管理画面に身に覚えのないユーザー

WordPressの管理画面(ユーザー一覧)に、見たことのないユーザー名とランダムなメールアドレスのアカウントが追加されている場合、攻撃者が管理者として登録した不正なユーザーの可能性が高いです。管理者権限を持たれると、ファイルの改ざん・マルウェア埋め込みが自由にできる状態になります。

確認と対処の手順

ステップ1:症状を再現できるか確認する

• Google検索から自社サイトにアクセスしてみる
• スマホからもアクセスしてみる(PCと挙動が違う場合は疑う)
• シークレットウィンドウ(プライベートブラウジング)で開いてみる
• Google Search Consoleに警告が出ていないか確認する
• Googleで『site:自社ドメイン』で検索し、作った覚えのないページがないか確認する

ステップ2:WordPressなら管理画面をチェック

• ユーザー一覧に身に覚えのない管理者アカウントがないか確認
• インストール済みプラグイン一覧でEssentialPlugin関連(Popup Maker、Countdown Timer Ultimate等)を使っていたら即アップデートか削除
• wp-config.php の末尾に怪しいPHPコードが注入されていないか確認(ファイルサイズが普段より6KB大きい場合は要警戒)
• 各プラグインを最新版に更新

ステップ3:緊急対応

• すべての管理者パスワードを変更する
• すべての管理者アカウントに二段階認証を設定する
• FTP・サーバー・データベースのパスワードも変更する
• 侵害前のバックアップがあれば復元を検討する
• 自力対応が難しければ、マルウェア駆除の専門業者に依頼する

取引先にも早めに共有を

このような症状に気づいたら、取引先のWeb担当者やIT担当者にも早めに共有してください。同じCMSを使っているなら同じリスクがあります。サプライチェーン攻撃は『あなたのサイトから取引先を攻撃する』ことにも使われます。

まず確認すべきこと

変な広告やリダイレクトに気づいていなくても、外部から見た自社サイトの状態は確認できます。セキュリティヘッダー、SSL/TLS設定、公開情報の露出など、外から見える弱点は攻撃者の標的リストに直結します。

出典

Patchstack(EssentialPlugin供給鎖攻撃の技術分析): https://patchstack.com/articles/critical-supply-chain-compromise-on-20-plugins-by-essentialplugin/

TechCrunch(EssentialPluginバックドア報道): https://techcrunch.com/2026/04/14/someone-planted-backdoors-in-dozens-of-wordpress-plugins-used-in-thousands-of-websites/

Anchor Hosting(初動調査レポート): https://anchor.host/someone-bought-30-wordpress-plugins-and-planted-a-backdoor-in-all-of-them/

Patchstack『State of WordPress Security 2025』: https://patchstack.com/whitepaper/state-of-wordpress-security-in-2025/

WPドクター『ワードプレスがマルウェアに感染しているときに出る症状5選』: https://wp-doctor.jp/blog/2022/05/11/