「WordPressサイトが変な動きをしている」「見知らぬファイルが増えている」「Googleに危険なサイトと表示されてしまった」
——そんな状況に陥って、焦っていませんか?
マルウェア感染は、WordPressを運営していれば誰にでも起こりうるトラブルです。
しかし、正しい手順で対処すれば、多くの場合は自分で駆除・復旧できます。
でも「何から手をつければいいかわからない」「変に触って悪化させたくない」という不安が先に立ち、
動けなくなっている方も多いはずです。
大丈夫です。
この記事ではプロの現場で実際に使っている手順をそのままお伝えします。
よこやま良平WordPressの復旧を多数手がけてきたよこやま良平です。わたしの現場経験をもとに、感染確認から完全駆除・再発防止まで丁寧に解説します。
- WordPressマルウェア感染の主な症状と確認方法
- 駆除作業の前にやるべき初動対応
- Wordfenceを使ったスキャン・駆除の具体的な手順
- 駆除後に必ずやるべき再発防止策
マルウェア駆除は、手順どおりに進めれば初心者の方でも対処できます。
焦らず一つひとつ確認していきましょう。
まずは「本当に感染しているのか」の確認から始めます。
WordPress マルウェア感染の症状と確認方法
マルウェア感染かどうかは、症状のパターンで判断できます。
以下の症状が出ていれば、感染を疑って対処を開始してください。
マルウェア感染でよく見られる症状
感染サイトに現れる症状は多岐にわたります。わたしが現場で頻繁に見てきた代表的なパターンを紹介します。
- 見知らぬページや広告が表示される
- クリックすると別のサイトにリダイレクトされる
- Googleに「このサイトは危険です」と警告表示される
- 管理画面にログインできなくなった
- サイトが真っ白・表示されない
- サーバーから「不審なファイルを検出した」と通知が来た
- 知らない管理者ユーザーが追加されている
1つでも当てはまれば、すぐに次のステップへ進んでください。複数当てはまる場合は感染の可能性が高く、早急な対処が必要です。
Googleサーチコンソールとサーバーで感染を確認する
感染の事実確認には、外部からの客観的なチェックが有効です。まず確認すべき2か所があります。
1つ目はGoogleサーチコンソールです。「セキュリティの問題」タブを開き、マルウェアや不正なコンテンツに関する警告が出ていないか確認します。Googleがすでに感染を検知していれば、ここに具体的な警告内容が表示されます。
2つ目はサーバーのファイルマネージャーやFTPです。`/wp-content/uploads/` フォルダにPHPファイルが存在する場合、
これはマルウェアである可能性が極めて高いです。画像フォルダにPHPファイルは本来存在しません。
- alf.php / moon.php / wsoyxxx.php などランダムな名前のPHPファイル
- wp-content/uploads/ 内に存在するPHPファイル全般
- wp-includes/ 内に見覚えのないファイル
マルウェア駆除の前にやること(バックアップ・初動対応)
駆除作業を始める前に、必ず現状のバックアップを取ることが鉄則です。
感染した状態であっても、バックアップがあれば「元の状態に戻す」という選択肢を残せます。
感染状態のままバックアップを取る理由
「感染したファイルをバックアップしても意味がない」と思う方がいますが、これは誤解です。
バックアップの目的は「感染前に戻すこと」ではなく、「作業中に何か起きた時のリカバリポイントを持つこと」です。
駆除中に誤って重要なファイルを削除してしまうことがあります。
その時にバックアップがあれば、ファイルを元の場所に戻してやり直せます。
バックアップなしで作業を進めると、最悪の場合サイトが完全に壊れてしまいます。
- WordPressのすべてのファイル(FTPやサーバーのファイルマネージャーで丸ごとダウンロード)
- データベース(phpMyAdminまたはサーバーのバックアップ機能でエクスポート)
初動でやるべき3つの緊急対応
バックアップが取れたら、被害を広げないための緊急対応を行います。
次の3つを優先してください。
- すべての管理者パスワードを変更する:WordPressの管理者パスワード・FTPパスワード・データベースパスワードをすべて変更します。攻撃者がまだアクセスできる状態を断ち切るためです。
- 不審な管理者ユーザーを削除する:WordPressの「ユーザー」一覧を確認し、身に覚えのない管理者アカウントがあればすぐに削除します。
- サイトをメンテナンスモードにする:感染したサイトを訪問者に見せ続けることは訪問者へのリスクにもなります。メンテナンスプラグインなどで一時的にアクセスを制限してください。
WordPress マルウェア駆除 5ステップ手順
マルウェア駆除は、正しい順番で進めることが最も重要です。
順番を飛ばしたり、思いつきで作業すると、駆除漏れや再感染の原因になります。わたしが現場で実践している5ステップを紹介します。
ステップ1:Wordfenceでマルウェアスキャンを実行する
まず、無料で使えるセキュリティプラグイン「Wordfence Security」でサイト全体をスキャンします。
WordPressのコアファイル・プラグイン・テーマ・アップロードファイルまで、すべてのファイルをチェックしてくれます。
- WordPress管理画面 → 「プラグイン」→「新規追加」で「Wordfence」を検索してインストール・有効化する
- 管理画面左メニューに「Wordfence」が表示されたら、「Scan」→「Start New Scan」をクリックする
- スキャン完了後、「Results」に問題のあるファイルの一覧が表示される
ステップ2:検出されたマルウェアファイルを削除・修復する
Wordfenceのスキャン結果に表示されたファイルへの対処方法は、ファイルの種類によって異なります。適切に判断して対処してください。
- 「Delete File」が表示されるファイル:本来存在しないファイルです。迷わず削除してください。
- 「Repair File」が表示されるファイル:WordPressのコアファイルが改ざんされています。「Repair」で公式版に戻せます。
- テーマ・プラグインのファイルが改ざんされている場合:該当のテーマ・プラグインを削除して再インストールするのが確実です。
ステップ3:.htaccessとwp-config.phpを確認・クリーニングする
マルウェアが仕込まれやすい 2つのファイルを必ず手動で確認します。
`.htaccess`と`wp-config.php`は、攻撃者が悪意あるコードを挿入する定番ターゲットです。
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPressこのコード以外に見慣れない記述があれば、それがマルウェアです。不審なコードを削除し、上記の正常な内容だけが残るようにしてください。
ステップ4:WordPressコア・プラグイン・テーマを最新版に更新する
マルウェア感染の原因の多くは、古いバージョンのWordPress・プラグイン・テーマに存在する脆弱性です。駆除後は必ずすべてを最新版に更新してください。
- 管理画面 → 「ダッシュボード」→「更新」から、WordPressコア・プラグイン・テーマをすべて最新版に更新する
- 長期間更新されていないプラグインや、使用していないプラグイン・テーマは削除する
- 管理画面にログインするすべてのユーザーのパスワードを改めて強力なものに変更する
ステップ5:再スキャンとGoogleへの再審査申請
駆除作業が完了したら、必ずもう一度Wordfenceでスキャンを実行し、検出結果がゼロになったことを確認します。問題なければ駆除完了です。
Googleに「危険なサイト」として警告が出ていた場合は、Googleサーチコンソールから再審査申請を行います。「セキュリティの問題」タブ → 「これらの問題を修正しました」→「審査をリクエスト」の順に進んでください。審査には通常数日〜数週間かかります。
駆除後の再発防止策
マルウェアを駆除しても、セキュリティ対策をしなければ同じ攻撃で再び感染します。駆除後の再発防止策こそが、長期的な安全運用の要です。
クイックレスキュー365で不正ログインと侵入を防ぐ
再発防止の第一歩として、わたしがまず導入を勧めるのが無料のセキュリティプラグイン「クイックレスキュー365」です。辞書攻撃・不正ログインのブロック、ログインURLの変更、XMLRPC遮断など、侵入を防ぐための8つの機能を無料で使えます。
- セキュリティ状態の可視化(今、危険かどうかが一目でわかる)
- 不正ログインブロック(辞書攻撃を遮断する)
- ログインURL変更(攻撃者に玄関の場所を教えない)
- XMLRPC遮断(遠隔操作による攻撃をシャットアウト)
- ユーザー名漏えい防御(ログインIDを外部から特定させない)
- ログインエラーメッセージ統一(ヒントを与える隙をなくす)
- IPアドレス拒否(怪しい相手を個別に出入り禁止にする)
- UploadsフォルダPHP動作禁止(画像フォルダからウイルスを実行させない)
定期バックアップと自動スキャンを設定する
再発防止の柱となるのが「定期バックアップ」と「定期スキャン」の自動化です。万一感染しても、直前のクリーンな状態に戻せる環境を整えておくことが大切です。
- UpdraftPlusなどで週1回以上の自動バックアップを設定する
- Wordfenceのスケジュールスキャン機能を有効にして定期検査を行う
- WordPressコア・プラグイン・テーマの更新を放置しない(月1回は確認)
- 管理者ユーザーのパスワードは英数字記号混在の12文字以上に設定する
WordPress マルウェア駆除に関するよくある質問
WordPress マルウェア駆除 完全手順まとめ
WordPressのマルウェア駆除は、正しい手順と適切なツールを使えば自分でも対処できます。この記事で解説した5ステップを守って、確実に駆除・再発防止まで完結させましょう。
- 【確認】症状・サーチコンソール・ファイルでマルウェア感染を確認する
- 【初動】バックアップを取り、パスワードを変更し、不審ユーザーを削除する
- 【駆除①】Wordfenceでスキャンし、検出ファイルを削除・修復する
- 【駆除②】.htaccessとwp-config.phpを手動で確認・クリーニングする
- 【更新】WordPress・プラグイン・テーマをすべて最新版に更新する
- 【確認】再スキャンで検出ゼロを確認し、必要ならGoogleに再審査申請する
- 【再発防止】クイックレスキュー365を導入し、定期バックアップ・スキャンを設定する
それでも自分での駆除が難しい・時間がない・何度やっても再感染してしまうという場合は、
専門家への依頼が最善の選択です。
被害が長引くほど、SEOへのダメージも大きくなります。
ホームページの乗っ取りが自分で解決できない時は
ホームページの乗っ取り・マルウェア感染・不正アクセスでお困りなら、
クイックレスキューが解決します。
- ホームページが乗っ取られた・改ざんされた
- 管理画面にログインできなくなった
- 変なサイトにリダイレクトされている
- Googleに危険なサイトと表示されている
- 自分で復旧しようとしたが直らない
- WordPressを復旧・修正したい
- 万一復旧できない場合やマルウェア駆除できない場合は全額返金保証で安心
- 90日間再感染保証・動作保証で安心
- 初期費用・調査費用0円で安心
