Kalsarikannint

サイト内検索

【実録】WordPressサイトが不正アクセスで403エラーに。エックスサーバーで自力で復旧した手順まとめ

wordpress WordPressエックスサーバートラブルシュート

こんにちは、29歳のITエンジニアです。Kalsarikännit (自宅でパンツ一丁で酔っ払う)してますか?
WordPressの403エラーに遭遇すると、「403 Forbidden」と表示されて、まるでサイトが「お前はここに来るな!」と拒絶しているように感じますよね。​
でもご安心を。この記事では、その「ツンデレ」なエラーを攻略する方法をお伝えします。

WordPressサイトで403 Forbiddenエラーが発生し、困っている方へ向けて、実際に私が対応した復旧の記録をまとめました。

突然サイトにアクセスできなくなったり、エックスサーバーから「不正アクセスがありました」という通知を受け取った方の参考になれば幸いです。

前提条件(作業を始める前に)

  • 操作にはphpMyAdminを使用します(phpMyAdminの操作方法)。
  • WordPressのコアファイルとデータベースのバックアップを必ず取得してください。

状況:WordPressサイトが403エラーに

知人から「WordPressサイトにアクセスできない!」と連絡があり、サイトを確認したところ、403 Forbiddenエラーが表示されていました。

さらに詳しく調べると、エックスサーバーからも「不正アクセスを検知した」と通知がありました。

調査結果:原因は不正アクセスによる改ざん

サーバーを調査したところ、以下のような不正ファイルが存在していました。

  • wp-confiq.php(本来はwp-config.phpが正しい名称のため、不正ファイルの疑い)
  • wp-includes/nkrfct.php という不審なPHPプロセスが動作
  • .htaccessのパーミッションが「444」になり、不正なリダイレクト設定がされていた

エックスサーバー側で一時的にパーミッションが「000」に変更されていましたが、自動復旧機能だけでは再発を防げませんでした。

行った対応:サイト復旧の具体的な手順

1. バックアップを取得

まずはWordPressのコアファイルとデータベースをバックアップします。これは必ず行ってください。

2. WordPressをサブディレクトリに再インストール

セキュリティ向上のため、WordPressのコアファイルをルートディレクトリ(/)ではなく、サブディレクトリに設置します。

例えば「/subfolder」に設置した場合、ルートのindex.phpは以下のように記述します。

<?php
define('WP_USE_THEMES', true);
require( dirname(__FILE__) . '/subfolder/wp-blog-header.php' );

3. コメント機能をすべて無効化

新規投稿はダッシュボードの設定でコメントを無効にします。既存の記事はphpMyAdminでSQLを使って一括変更しました。

UPDATE wp_posts
SET comment_status = 'closed', ping_status = 'closed'
WHERE comment_status != 'closed' OR ping_status != 'closed';

4. データベース内の不要データを削除

サイトのパフォーマンス改善とセキュリティ対策のため、次のSQLを実行して不要データを削除します。

30日以上前のリビジョンを削除

DELETE FROM wp_posts
WHERE post_type = 'revision'
  AND post_date < DATE_SUB(NOW(), INTERVAL 30 DAY);

ゴミ箱(Trash)内の投稿やページを削除

DELETE FROM wp_posts
WHERE post_status = 'trash';

不要なコメント(スパム、ゴミ箱)を削除

DELETE FROM wp_comments
WHERE comment_approved IN ('spam', 'trash');

孤立したメタデータを削除

DELETE pm
FROM wp_postmeta pm
LEFT JOIN wp_posts p ON p.ID = pm.post_id
WHERE p.ID IS NULL;

使用していないプラグインの残骸を削除

過去に使用していた「All in One SEO」やフォームの名残を削除します。

DELETE FROM wp_postmeta
WHERE meta_key LIKE '\\_aio%' ESCAPE '\\';

DELETE FROM wp_postmeta
WHERE meta_key LIKE '%メールアドレス%'
   OR meta_key LIKE '%お名前%';

4. セキュリティ対策を強化する

再発を防ぐため、次の設定をおすすめします。

  • セキュリティプラグインの導入(SiteGuardなど)
  • WordPress本体とプラグインを最新に保つ
  • WAF(ウェブアプリケーションファイアウォール)の有効化
  • 管理者アカウントの強化(二段階認証など)

まとめ:同様の被害を防ぐために

今回の事例では、単にエラーを解決するだけでなく、不正アクセスの原因をきちんと特定し、根本的にサイトを再構築することが必要でした。

「403エラー」や「不正アクセスの通知」があったときは、慌てずバックアップを取得した上でサーバー内を確認し、不正なファイルや設定がないか点検しましょう。

同じ状況でお困りの方の参考になれば嬉しいです。それではまた!

Author Afu

CG屋の社内SE+Web屋+IT御用聞き。沖縄⇔東京のデュアルライフ模索中。

WordPressバックアップファイルが開けない問題を解決 – 500MB超SQLファイルの効率的な扱い方

どうも、Kalsarikännit (自宅でパンツ一丁で酔っ払う)してますか? 今回は WordPress のデータベース関連でハマった話を共有します。500MB超えの巨大SQLファイルに四苦八苦した経験から、意外と簡単な解決策を見つけたので、同じ問題に直面している方の参考になれば。 発生した問題 WordPress サイトを長期運用していると、DB が肥大化して扱いづらくなることがあります。今回、バックアップ用の SQL ファイルが 500MB を超える サイズになってしまい、単純な編集すらままならない状況に陥りました。 https://kalsari.net/wordpress/62 原因 「WordPress Popular Posts」や「All in One SEO」などのプラグインが大量のデータを DB に蓄積していました。重要なポイント: これらのプラグインを削除しても、DB 内のデータは残り続けます。 試行錯誤の過程 様々なエディタやツールを試しましたが、どれも 500MB のファイルには対応できませんでした。
wordpress WordPressトラブルシュート

ゲームがカクつく・画面が重いと感じたら?初心者でも簡単なNVIDIAドライバー確認方法を解説

こんにちは、29歳園児nearです。Kalsarikännit (自宅でパンツ一丁で酔っ払う)してますか? 普段快適に使えていたPCでも、突然のトラブルで「NVIDIAのドライバーが正しく動いていないかも?」と思うことがありますよね。今回は、非エンジニアの方向けに、簡単にNVIDIAのドライバーが正しくインストールされているかを確認する方法をご紹介します。難しい専門知識は不要で、どなたでもすぐにチェックできる方法ですので、ぜひ参考にしてみてください。 1. NVIDIA コントロールパネルで確認 最も簡単な方法です。 デスクトップの何もないところで「右クリック」し、「NVIDIA コントロールパネル」を選択します。 左下にある「ヘルプ」メニューから「システム情報」をクリック。 GPUの名前やドライバーのバージョンが表示されていれば問題ありません。 もし「NVIDIA コントロールパネル」が表示されない場合は、ドライバーが正しくインストールされていない可能性があります。 2. デバイスマネージャーで確認 Windows標
未分類 NVIDIAトラブルシュート

ワイヤレスヘッドホンの自動電源オフ機能が効かなくなった!原因は意外な〇〇だった

どうも、寒くて耳が冷えるのが大の苦手な人間です。 だからこの時期はパーカーのフードかヘッドホンが大活躍なんです。 本日は愛用しているヘッドホン[WF-1000XM4]の調子が悪くなって困っていたことを、やっと解決できたので備忘録として記します。 今回の症状と解決方法を簡単にまとめると: 症状:ヘッドホンを外しても自動で電源が切れない 原因:センサー部分(左耳)の汚れ 解決方法:センサー部分を綿棒で優しく清掃 該当機種: SONY WH-1000XM4 この機種は耳から外すとセンサーが作動して音楽が停止し、再着用すると再開され、さらに一定時間外したままにすると自動的に電源がオフになる機能を搭載しています。 そのため、取り外して放置しても電源が自動でオフになるのでとても便利だったのですが、最近この自動電源オフ機能がうまく作動せず、耳から外しても電源が入りっぱなしになる事態が発生しました。 リモートMTGしようとしたらバッテリー切れと言われ焦ったので、これは何とかしなければと思い、まずはセンサー部分を確認することに。
未分類 ガジェットトラブルシュートヘッドフォン

関連記事

WordPressバックアップファイルが開けない問題を解決 – 500MB超SQLファイルの効率的な扱い方

どうも、Kalsarikännit (自宅でパンツ一丁で酔っ払う)してますか? 今回は WordPress のデータベース関連でハマった話を共有します。500MB超えの巨大SQLファイルに四苦八苦した経験から、意外と簡単な解決策を見つけたので、同じ問題に直面している方の参考になれば。 発生した問題 WordPress サイトを長期運用していると、DB が肥大化して扱いづらくなることがあります。今回、バックアップ用の SQL ファイルが 500MB を超える サイズになってしまい、単純な編集すらままならない状況に陥りました。 https://kalsari.net/wordpress/62 原因 「WordPress Popular Posts」や「All in One SEO」などのプラグインが大量のデータを DB に蓄積していました。重要なポイント: これらのプラグインを削除しても、DB 内のデータは残り続けます。 試行錯誤の過程 様々なエディタやツールを試しましたが、どれも 500MB のファイルには対応できませんでした。
wordpress WordPressトラブルシュート

WordPressのテーマ自作は怖くない 【第一回:最小構成でテーマを作ろう】

こんにちは。Kalsarikannintのフロントエンド担当・daiです。 WordPress、使ってますか?未だに無料CMSの中では右に出る者はいないレベルで支持されていますが、かくいうこのサイトも、WordPressで作られています。 そして、デザインの要となるテーマについては、ボイラープレートすら使わずに、イチから自作しています。 PHPが苦手なこともあり、ほんの数ヶ月前まではなるべくWordPressを避けてきた僕ですが、やってみると意外と怖くなかったよ、ってことをシリーズ(全4回の予定)でお伝えできればと思います。 いままで静的なサイトは作ったことがあるけど、「複雑そう」とか「既存のテーマをイジるのが怖い」といった理由でWordPressを避けていたコーダーの方の背中を押すきっかけになれば幸いです。 まずは最小構成で作ってみよう このサイトのもともとのテーマが「シンプル」「15年前のインターネット」だったこともあり、最小構成で成り立っています。WordPress初心者の方も、まずは「トップページ」と「記事ページ」だけのシンプルなサイトで作
wordpress WordPressフロントエンド

記事タイトルが埋め込まれたOGP画像を作る

あけましておめでとうございます。Kalsarikannintのフロントエンド担当・daiです。 QiitaとかZennとかイマドキのサイトをSNSなどでシェアしたとき、表示されるOGP画像に記事のタイトルが埋め込まれてるのをよく見かけると思います。 Kalsarikannintもイマドキの技術ブログも目指したい(願望) ので、この年末年始休みを使って、以下の各ページを参考に、WordPressで構築されているこのブログでもそれを実装してみたので、その方法などを紹介していきます! 参考: 文字を埋め込んだ画像を生成するツール作った | 無趣味の戯言 PHPで禁則処理を強引にやる | 無趣味の戯言 PHP: GD - Manual つくったもの 最終的には、 functions.php に以下のコードを追記することで、記事を保存したタイミングで /wp-content/uploads/ogp/ogp_{記事ID}.jpg として記事タイトルが埋め込まれた画像を生成することができるようになりました。 // functions.php
wordpress PHPWordPressフロントエンド