WordPress復旧を相談した時に
「感染ファイルが多いので全部消すしかありません」
「新しく作り直した方が早いです」
と言われると、とても不安になります。
結論から言うと、WordPress復旧で全削除が必要なケースはあります。
しかし、調査の根拠がないままサイト全体を消したり、
新しいドメインへ移したりする判断は危険です。
特に、通常の制作会社や個人制作者へ相談した場合、
悪意がなくても「復旧」ではなく「作り直し」の提案になりやすいことがあります。
これは制作会社が悪いというより、
Web制作とマルウェア駆除では見る場所と必要な技術が違うためです。
WordPressの復旧やマルウェア駆除を多数手がけてきたよこやま良平です。わたしの現場経験をもとに、「全部消す」と言われた時に初心者の方が確認すべきポイントを図解で整理します。
- WordPress復旧で「全部消す」と言われた時に最初に確認すること
- 制作会社や制作者がマルウェア駆除を苦手にしやすい理由
- ファイル削除だけでは再感染が止まらない仕組み
- 本当に削除を検討すべきケースと残すべきデータ
- 復旧業者へ相談する前に聞くべき質問
この記事では、専門用語をなるべく減らして、初心者の方でも判断しやすい順番で解説します。
「消すか、残すか」だけで考えるのではなく、「どこを調べてから判断するか」を押さえてください。
WordPress復旧で全部消す前に確認すべき結論
WordPress復旧で「全部消すしかない」と言われた時は、まず削除の根拠を確認するのが正解です。
感染ファイルが多い、改ざん箇所が広い、バックドアが残っている。
これらは深刻な状態ですが、それだけで「投稿も画像もドメインも全部捨てる必要がある」とは限りません。
WordPressのマルウェア感染で問題になるのは、主にサーバー上のファイル、データベース、
管理者ユーザー、FTPやサーバーパネルの認証情報、古いプラグインやテーマです。
ドメイン名そのものにウイルスが入るわけではありません。
図解:WordPress感染で見るべき範囲
改ざん
リダイレクト
テーマ
プラグイン
投稿
設定値
脆弱性
パスワード
更新
保護設定
見えている症状だけ直しても、入口やバックドアが残ると再感染します。
- どのファイルやフォルダが感染していると判断したのか
- データベースの投稿や設定値まで確認したのか
- 正常なバックアップがいつの時点で残っているのか
- 投稿、画像、問い合わせ履歴、注文情報などを保護できるのか
- 復旧後に再感染しないための確認項目があるのか
大切なのは、削除を否定することではありません。
削除が必要な場合でも、どこまで消すのか、何を残すのか、どの順番で戻すのかを決めてから作業することです。
WordPressマルウェア駆除を制作会社が苦手にしやすい理由
WordPressマルウェア駆除を、一般的な制作会社や制作者が苦手にしやすい理由は、作業の目的がWeb制作とまったく違うからです。
制作会社の得意分野は、デザイン、レイアウト、コーディング、WordPressテーマ構築、ページ更新、機能追加などです。
一方でマルウェア駆除は、改ざんファイル、データベース、不正ユーザー、サーバーログ、侵入口、再感染の原因まで調べる必要があります。
図解:制作会社と復旧専門で見る場所の違い
制作会社が得意な領域
デザイン
ページ制作
テーマ調整
表示崩れ修正
通常の保守更新
復旧専門が見る領域
不正コード
バックドア
データベース改ざん
不正ユーザー
侵入口と再感染対策
見た目を戻す作業と感染を取り除く作業は違います
サイトの見た目を元に戻すだけなら、テーマを入れ替えたり、ページを作り直したりすれば改善することがあります。
しかし、それはマルウェア駆除が完了したという意味ではありません。
たとえば、トップページの改ざんを直しても、uploads フォルダにPHPファイルが残っていたり、データベースの中に不正スクリプトが残っていたりすれば、数日後に再発することがあります。
制作会社は責任回避として作り直しを提案しやすいです
マルウェア感染は、完全に取り切れたかどうかの判断が難しい作業です。
そのため、専門外の制作会社ほど「作り直した方が安全です」と提案しやすくなります。
もちろん、作り直しが正解のケースもあります。
ただし、調査前から作り直しだけを勧める場合は、感染範囲を見て判断したというより、復旧作業を引き受けられないための提案になっている可能性があります。
- ファイルだけでなくデータベース内の改ざんも確認するか
- 不正な管理者ユーザーや不要プラグインを確認するか
- サーバーログや更新日時から侵入口を推定するか
- Google Search Consoleの警告や検索結果汚染まで見るか
- 再感染した場合の保証や再確認があるか
ここまで確認できない場合、その会社はWeb制作の専門家であって、マルウェア駆除の専門家ではない可能性があります。
役割の違いとして受け止め、必要に応じて復旧専門へ相談するのが安全です。
WordPress復旧でファイル削除だけでは再感染する理由
WordPress復旧でファイルを消しただけでは再感染する理由は、攻撃者が再び入るための入口を残していることがあるからです。
マルウェアは、1つのファイルだけに入っているとは限りません。
複数のフォルダに分散していたり、データベースに不正コードを埋め込んでいたり、管理者ユーザーを追加していたりします。
uploadsフォルダ内の実行可能なPHPファイル- 使用中テーマの
functions.phpやheader.phpへの不正コード .htaccessの不正リダイレクト設定- データベース内の投稿、ウィジェット、オプション値の改ざん
- 知らない管理者ユーザーや外部連携用アカウント
- 古いプラグイン、古いテーマ、漏えいしたFTP情報
よくある失敗は、セキュリティプラグインの検出結果に出たファイルだけ消して終わることです。
スキャン結果は重要な手がかりですが、検出されたファイルだけが全体とは限りません。
WordPress公式のセキュリティ強化でも、更新、権限、認証情報、バックアップなど複数の対策が重要とされています。
復旧後は、ファイルを戻すだけではなく、入口を塞ぐところまで確認しましょう。
WordPress復旧で本当に削除を検討すべきケース
WordPress復旧で本当に削除を検討すべきケースはあります。
ただし、それは「面倒だから全部消す」ではなく、「安全に戻すために入れ直す」という判断です。
たとえば、WordPress本体やプラグインの正規ファイルまで広範囲に改ざんされている場合、1ファイルずつ修正するより、クリーンなファイルへ入れ直す方が安全です。
この場合でも、投稿、画像、顧客データ、SEO設定などをどう救出するかが重要になります。
図解:削除前の判断フロー
ファイルとDBを保管
感染箇所と入口
投稿・画像・注文
部分修復か入れ直し
- WordPress本体、テーマ、プラグインの改ざん範囲が広い
- 正常なバックアップが古く、差分の判断が難しい
- 複数回復旧しても短期間で再感染している
- 使っていない古いテーマやプラグインが大量に残っている
- サイトの作りが古く、PHPやWordPressの更新に耐えられない
このような状態では、すべてを残そうとするほど危険なコードを温存する可能性があります。
ただし、クリーンインストールでも、残すデータと捨てるデータを分ける必要があります。
新しいドメイン取得まで必要になるケースは多くありません。
Googleの警告が出ている場合も、原因を修正し、クリーンな状態を確認したうえで再審査を行う流れが基本です。
参考:Googleの再審査手順
WordPress復旧を依頼する前に聞くべき質問
WordPress復旧を依頼する前には、作業内容を具体的に聞くべきです。
説明が具体的であるほど、復旧後のトラブルを避けやすくなります。
反対に、危険なのは「全部消します」「作り直せば大丈夫です」「とりあえず任せてください」といった説明だけで、何を確認するのかが見えないケースです。
WordPress復旧を依頼する前に聞くこと
・全部削除が必要と判断した根拠は何ですか?
・感染範囲はファイル、データベース、ユーザーのどこまでですか?
・投稿、画像、問い合わせ履歴、注文情報は保護できますか?
・既存ドメインを使い続けられない理由はありますか?
・復旧後に何を検査して納品しますか?
・再感染した場合の保証や再確認はありますか?この質問に対して、感染範囲、作業範囲、確認方法を説明できる相手なら安心しやすいです。
逆に、質問しても「難しいので全部消すしかありません」とだけ返ってくる場合は、削除前にセカンドオピニオンを取る価値があります。
- 現在のファイル一式とデータベースのバックアップ
- 異常が出ているURL、画面、警告文のスクリーンショット
- サーバー会社やGoogleから届いた通知
- 最後に正常だった日時と、直前に行った更新作業
- 管理画面、サーバーパネル、FTP情報の利用者一覧
削除してからでは戻せない情報があります。
感染済みのバックアップでも、原因調査やデータ救出の比較材料として役立つことがあります。
WordPress復旧後に再感染を防ぐ確認項目
WordPress復旧後に再感染を防ぐには、復旧作業と予防作業を分けて考える必要があります。
復旧は、壊れた状態や感染した状態を元に戻す作業です。
再感染防止は、もう一度入られないように入口を塞ぎ、監視しやすい状態へ整える作業です。
- WordPress管理者、サーバーパネル、FTP、データベースのパスワード変更
- 不要な管理者ユーザー、古いテーマ、未使用プラグインの整理
- WordPress本体、テーマ、プラグイン、PHPバージョンの更新
uploadsフォルダでPHPを実行させない設定- Google Search Consoleのセキュリティ問題と検索結果の確認
- 復旧後にクリーンなバックアップを取り直すこと
ここで注意したいのは、セキュリティプラグインを入れれば感染済みサイトが自動的に完全復旧するわけではないことです。
先に感染範囲を確認し、危険なファイルやデータベース改ざんを取り除いたうえで、予防策として設定する順番が安全です。
復旧後の予防策としては、ログインURL変更、XMLRPC遮断、ユーザー名漏えい防止、UploadsフォルダのPHP実行禁止などが役立ちます。
ただし、スキャンや感染検出が必要な場面では、Wordfenceなどの検査系ツールも併用して確認してください。
WordPress復旧で全部消すと言われた時のよくある質問
WordPress復旧で全部消す前に判断を分けましょう
WordPress復旧で「全部消すしかない」と言われても、すぐにサイト全体の削除や新ドメイン取得を決める必要はありません。
本当に必要なのは、感染範囲、侵入口、バックドア、認証情報、バックアップ、必要データ、再感染対策を分けて確認することです。
削除が必要な場合でも、調査結果に基づいて「何を消し、何を残すか」を決めるべきです。
- 全削除や新ドメイン取得は最後の手段として考える
- 制作会社とマルウェア駆除専門では見る場所が違う
- 見えているファイルだけ消しても、入口が残れば再感染する
- 削除前にファイル、データベース、症状、通知内容を保存する
- 削除の根拠、復旧後の検査、保証範囲を確認してから依頼する
サイトは、デザインやファイルだけでなく、投稿、画像、検索評価、問い合わせ導線、顧客との信頼が積み上がった資産です。
消す前に、まずは復旧できる可能性を確認してください。
WordPress復旧で全部消すべきか自分で判断できない時は

ホームページの乗っ取り・マルウェア感染・不正アクセスでお困りなら、
クイックレスキューが解決します。
- ホームページが乗っ取られた・改ざんされた
- 制作会社から「全部消すしかない」と言われて迷っている
- 変なサイトにリダイレクトされている
- Googleに危険なサイトと表示されている
- 自分で復旧しようとしたが直らない
- WordPressを復旧・修正したい
- 万一復旧できない場合やマルウェア駆除できない場合は全額返金保証で安心
- 90日間再感染保証・動作保証で安心
- 初期費用・調査費用0円で安心





