WP-CLIでWordPressコアファイルの破損・改ざんを確認する方法
「サイトが改ざんされたかもしれない」「更新に失敗してファイルが壊れたかも」——そんなとき、まず役立つのがコアファイルの整合性チェックです。
この記事では、WP-CLIの wp core verify-checksums で「何が分かり、何が分からないか」を整理します。サイトのファイルは変更しません。
verify-checksums とは(何をする道具か)
この章で分かること: このコマンドの仕組みを知ると、結果を正しく読めます。
WordPress.orgは、各バージョンのコアファイルの「正しい状態」を表すチェックサム(ファイルの指紋のようなもの)を公開しています。verify-checksums は、それと現在のコアファイルを照合し、食い違いを報告します。
照合の考え方: 「公式の配布物」と「いま手元にあるコア」を突き合わせ、変化したファイル・足りないファイルを見つける。
使い方
この章で分かること: 実行コマンドと、出力の読み方です(読み取りのみ)。
wp core verify-checksums- 問題が無ければ「Success: WordPress installation verifies against checksums.」のような成功メッセージが出ます。
- 食い違いがあると、該当ファイルが Warning として報告されます(例: チェックサム不一致、本来存在しないファイル)。
- これは報告のみで、ファイルの修復や削除はしません。
照合には対象バージョンのチェックサム取得が必要です。ネットワークやバージョン情報の状態によっては取得できないこともあります。その場合はエラー内容を確認してください。
確認できる範囲・できない範囲
この章で分かること: ここを誤解すると「チェックしたから安全」と思い込む危険があります。
- 確認できる: コア(wp-admin・wp-includes・ルートのコアファイル等)の変化・欠落。
- 確認できない:
wp-content配下(テーマ・プラグイン・uploads)。ここはコアの照合対象外です。 - つまり「コアは無事」でも、テーマやアップロード画像フォルダに不審ファイルが潜む可能性は残ります。
プラグイン・テーマ・uploadsは別の確認が必要
WordPress.orgで配布されているプラグインは wp plugin verify-checksums で照合できる場合がありますが、有料・独自のプラグインやテーマ、uploads配下は対象外です。プラグイン・テーマの状態確認は「WP-CLIでプラグイン・テーマの状態を安全に確認する方法」を、改ざん対策の全体像は「WordPressの改ざんマルウェア対策」を参照してください。
改ざんが疑われるときの初動
この章で分かること: あわてて触ると、原因究明も復旧も難しくなります。順番が大切です。
改ざんが疑われるとき、いきなりコアの再インストールや不審ファイルの削除をすると、「治ったように見えて再発」したり、原因の痕跡が消えて調査できなくなることがあります。まずは現状の保全(バックアップ・隔離)とログの確認が先です。
- 現状を保全する(バックアップを取り、できれば本番から隔離)。
- アクセスログ・変更日時など、手がかりを確認する。
- 影響範囲を見極めてから、復旧方針を決める(上書きはその後)。
侵入後の追跡と復旧の考え方は「セキュリティ・フォレンジック ― 侵入後の追跡と復旧」で詳しく扱っています。
よくある質問(FAQ)
verify-checksums が成功したら安全と考えてよいですか?
いいえ。コアファイルに変化が無いことは分かりますが、wp-content配下(テーマ・プラグイン・uploads)は対象外です。安全の断定はできません。
Warningが出たら改ざんですか?
必ずしも改ざんとは限りません。手動でコアを編集した、更新が途中で失敗した、などでも食い違いは出ます。原因の切り分けが必要です。
不審ファイルを見つけたらすぐ消すべきですか?
すぐに消すのは避けてください。再発防止のためにも、保全とログ確認を先に行い、影響範囲を見極めてから対応します。
まとめ
verify-checksums は「コアの整合性を読む」便利な確認ですが、守備範囲には限界があります。結果を過信せず、疑わしいときは保全を優先しましょう。WP-CLI全体像は「WP-CLI鉄板コマンド完全ガイド」、プラグイン・テーマの確認は「プラグイン・テーマの状態確認」をどうぞ。
