横断感染で全サイト崩壊:安価な復旧よりも運用改善が最大の防御策
「1 サイト直したら他も改ざんされていた」というご相談、本当に増えました。横断感染は復旧後の運用設計まで含めて見直さないと、また同じ事故が起きます。
最近、複数サイトが同時にハッキングされる「横断感染」の復旧のご相談が増えています。
数十サイト規模の一斉改ざんは、いまや珍しい事故ではありません。
本記事では、横断感染が起きる理由・復旧方法・費用相場・自動バックアップ復元の危険性まで、すべて事実に基づいて整理します。
横断感染とは?なぜ一斉に改ざんされるのか
サーバーの「同居構造」が最大の弱点になる
サーバーでは1つのアカウントに複数のWordPressサイトを設置できます。
この“同居構造”により、1サイトに侵入されると、同じアカウント内の他サイトへ攻撃が横断的に広がります。
攻撃者は、まず最初の脆弱なサイトへ侵入し、そこからwp-includes、Maildir、script、tmp、.htaccess などにバックドアを配置し、アカウント全体へ自由にアクセスできる足場を作ります。
では、なぜ攻撃者は最初の1サイトへ侵入できてしまうのでしょうか。
横断感染が起こる現場では、次のような“共通する原因”が必ず見つかります。
- WordPress本体やプラグインの更新が長期間停止している
- 1つのアカウントに大量のWPサイトを密集させている
- 弱いパスワード・使い回しパスワードの使用
- 不要なWordPress、古いプラグイン、不使用のテーマを放置している
これらの条件が揃うと、攻撃者が最初の1サイトへ侵入し、その後アカウント全域へ横断感染が拡大する“完璧な状況”が出来上がってしまいます。
自動バックアップ復元は便利だがリスクあり
“直ったように見えるだけ”で危険が残る
サーバーの自動バックアップは便利ですが、横断感染の復旧では「最終手段」です。その理由は次の通りです。
- 改ざん発覚前のバックアップがすでに汚染されている可能性が高い
- そのため最新バックアップは使えず、投稿・画像・会員データなど消失
- Maildir や wp-includes に隠されたバックドアも復元されるリスクあり
- サーバー運営側が 000パーミッションで封印した不正ファイルも、バックアップで上書きされ復活するリスクあり
そのため、自動バックアップで復旧した場合に「直ったように見える」のは錯覚であり、内部には同じ攻撃の入口が残ったままの状態です。
再感染が起きるリスクはむしろ高まります。
正しい復旧方法(再発率を最小化する手順)
実務で効果が証明されているフロー
横断感染したWordPress群を安全に復旧するには、次のステップが必須です。
- 感染直前のフルバックアップを取得(最優先)
→ ログを確認し『確実に感染前の状態』を取得することが重要 - アカウント全域の感染箇所を切り分け
(全WordPress、Maildir、script、tmp、cron など)
→ 横断感染では範囲が広いため『想定より深い汚染』が必ずある - WordPressコア(wp-admin / wp-includes)を新品へ入れ替え
→ 各ファイルが安全であることをゼロから保証する唯一の方法 - wp-content の精査
(画像偽装php・一文字違いのプラグイン等の除去)
→ 『不正ファイルの温床』を根こそぎ除去 - アカウント構造の設計改善
(複数のWordPressを詰め込みすぎない・アカウント分離)
→ 横断感染の再発を物理的に防ぐ最も効果のある対策 - 再発防止(運用設計):
更新、ログ監視、月額保守、WAF強化、二段階認証
→ 復旧ではなく、日常的な『継続的な防御』を仕組み化することが本丸
作業費用の相場(情報源リンク付き)
公開されている料金から導いた実勢相場
複数の復旧サービスの公開価格から、横断感染時の現実的な相場を算出できます。
横断感染では「1サイト × 上記単価」がほぼ必ず発生します。
- 5サイト → 15万〜50万円
- 10サイト → 30万〜100万円
が妥当なレンジになります。
横断感染は技術トラブルではなく「運用の問題」です。
正しい復旧と正しい運用を行うことでのみ再発を防げます。
安い復旧やバックアップ復元だけでは、入口が残ったまま再稼働するため危険です。
横断感染は、たった1サイトの放置や油断が原因で、
アカウント内の数十サイトすべてを巻き込む深刻な事故 です。
しかし現実には、
「安く済ませたい」
「自動バックアップで戻せませんか?」
といった相談がココナラでは後を絶ちません。
けれども、その姿勢こそが
横断感染を招いた最大の原因 です。
未更新のWordPress、弱いパスワード、放置されたプラグイン、
1アカウントに大量のWordPressを詰め込んだ構成——
これらは、攻撃者にとって“玄関が開けっぱなし”の状態です。
そして、相談者が最後に言う言葉は決まっています。
「バックアップから戻せば大丈夫だと思っていました…」
ですが、事実として、
自動バックアップ復元は 直ったように見せるだけの応急処置 にすぎません。
内部には攻撃者の入口がそのまま残るため、再感染の確率はむしろ高まります。
WordPressを本当に安全に復旧するためには、
次の6つのステップが欠かせません。
- 感染直前のフルバックアップ
- アカウント全域の切り分け
- WPコアの新品化(wp-admin / wp-includes を完全入替)
- wp-content の手動精査(画像偽装php・バックドア等の除去)
- アカウント構造の改善(WP本体詰め込み対策・アカウント分離)
- 継続的な運用(更新・ログ監視・WAF・認証強化)
これらを実行して初めて、
攻撃の入口をゼロにし再発しない復旧が成立します。
安価な復旧や自動バックアップ復元だけでは、
入口が残り続け、また同じ被害が起こるリスクを高めます。
横断感染は“技術トラブル”ではありません。
運用の問題です。
だからこそ、
安さだけで復旧手段を選ぶと、結果的に総費用が大きくなりやすい構造があります。
あなたのWordPressを守るのは、
価格ではなく、
正しい選択です。
そして、同じパターンで被害に遭いやすいのは、
他でもない 「安さを優先した人」 です。
ここで態度を改め、
再発しない本物の復旧 を選ぶことが、
最終的に最も安く、最も安全な選択になります。
いま現在、複数サイトのうちどれが感染源か分からない状況でしたら、安価な単発復旧より、原因の絞り込みから一緒に進めた方が長期的に安く済みます。
ご相談の手段を選んでください
どの窓口でも、最初のご相談は無料です。
- メールフォーム 24h 受付・キャンセル可
- Chatwork 個人事業主との直接やりとり
- Zoom(予約制) 30 分まで無料/本人確認も兼ねて
- ココナラ 累計 600+ 件 ・ 平均 ★4.9
- ウェブナラ(ストア) 公開実績一覧/ご相談 LP
⏱ 受付 24h/対応 平日 10:00-17:00
🚨 緊急時:当営業日内に一次回答






