「サイトを開いたら知らないページにリダイレクトされる」「Googleに「このサイトは危険です」と表示されている」「管理画面に見知らぬ管理者アカウントが増えている」……
こういった症状が出た時、WordPressがマルウェアに感染している可能性があります。マルウェアとは「悪意あるソフトウェア」の総称で、WordPressに侵入して不正な動作を引き起こします。放置するとサイトの信頼性が失われ、Googleの検索結果から除外されることもあります。
この記事では「マルウェアに感染してしまった」と気づいた時に、初心者でも落ち着いて対処できるよう、復旧の手順と注意点をわかりやすく解説します。
ITエンジニアとして20年以上WordPressに携わってきたよこやま良平です。多数のサイト復旧を手がけてきたわたしが、マルウェア感染時の対処法と再発防止策を丁寍に解説します。
- WordPressのマルウェア感染に気づくサインと確認方法
- 感染が発覚したらすぐやるべき4つの応急処置
- マルウェアを自分で駆除するための手順
- 復旧後に絶対やるべき再発防止策
- 自分で解決できない場合の相談先
まずは「マルウェアに感染しているかどうか」を確認するところから始めましょう。
マルウェア感染のサインを確認する
マルウェアはこっそりサイトに侵入するため、気づかないまま放置してしまうことがあります。以下のサインに心当たりがないか確認してみましょう。1つでも当てはまる場合は、早急に対処が必要です。
- サイトを開くと全く知らないサイトに飛ばされる(リダイレクト)
- Googleで自分のサイトを検索すると「このサイトは危険です」「フィッシングサイト」などの警告が表示される
- 管理画面に見覚えのない管理者アカウントが追加されている
- サイトの一部のページに身に覚えのない広告・リンク・テキストが表示されている
- サーバーから「不正なファイルが検出されました」という通知が届いた
- サイトの表示が極端に遅くなった
- Googleサーチコンソールに「有害なコンテンツ」の警告が届いた
Googleのセーフブラウジングで感染確認する
Googleが提供している「セーフブラウジング透明性レポート」を使えば、自分のサイトが危険なサイトとしてマークされていないか、無料で簡単に確認できます。
- ブラウザで「Google セーフブラウジング」と検索する
- 「サイトのステータスを確認する」ページを開く
- 入力欄に自分のサイトURLを入力して確認する
- 「現在の危険性はありません」と表示されれば安全、警告が表示された場合は感染の可能性がある
感染が発覚したらすぐやるべき4つの応急処置
マルウェア感染が確認できたら、まず次の4つの応急処置をすぐに行ってください。これを先にやることで、被害の拡大を防ぐことができます。
応急処置①サイトをメンテナンスモードにする
マルウェアに感染したサイトをそのまま公開し続けると、訪問者の端末にも被害が及ぶ可能性があります。「メンテナンス中」と表示して、一時的にサイトへのアクセスをブロックしましょう。
管理画面に入れる場合は「LightStart – Maintenance Mode」などのプラグインを使えば、数クリックでメンテナンスモードにできます。管理画面に入れない場合は、レンタルサーバーのコントロールパネルから「アクセス制限」機能を使って一時的にサイトへのアクセスを制限しましょう。
応急処置②すべてのパスワードを変更する
感染が確認されたら、以下のパスワードをすべて変更してください。マルウェアによってパスワードが盗まれている可能性があるため、早急な対応が必要です。
- WordPressの管理者パスワード(全管理者アカウント)
- レンタルサーバーのコントロールパネルのパスワード
- FTPのパスワード
- データベース(MySQL)のパスワード
- WordPressの登録メールアカウントのパスワード
応急処置③見知らぬ管理者アカウントを削除する
管理画面に入れる場合は、「ユーザー」の一覧を確認して、見覚えのないアカウントがないかチェックしてください。不審なアカウントが見つかったら即座に削除します。
管理画面に入れない場合は、phpMyAdminのwp_usersテーブルから不審なユーザーを削除することもできます。ただしこの操作はデータベースを直接操作するため、慎重に行いましょう。
応急処置④バックアップを確保する(感染前のものを)
定期バックアップを取っていた場合は、感染前の日付のバックアップを確保してください。ただし、感染がいつ起きたかを特定してからバックアップを選ぶことが重要です。感染後のバックアップを使っても、マルウェアごと復元されてしまいます。
マルウェアを駆除する手順(自分でできる方法)
応急処置が完了したら、マルウェアの駆除に取り組みます。完全な駆除には専門知識が必要なケースもありますが、まずは自分でできる基本の手順から進めましょう。
ステップ1:セキュリティプラグインでスキャンする
まずWordPressのセキュリティプラグインを使って、感染しているファイルを特定します。「Wordfence Security」は代表的なセキュリティプラグインで、マルウェアのスキャン機能を備えています。
- 管理画面 →「プラグイン」→「Wordfence Security」をインストール・有効化する
- 管理画面左メニューの「Wordfence」→「スキャン」を開く
- 「新しいスキャンを開始」をクリックする
- スキャン完了後、「スキャン結果」に表示された問題のあるファイルを確認する
- 「すべての削除可能ファイルを削除」または問題のあるファイルを個別に対処する
【※画像挿入※ Wordfenceのスキャン結果画面】
ステップ2:WordPressのコアファイルを再インストールする
マルウェアはWordPressのコアファイル(WordPress本体のプログラムファイル)に潜り込んでいることがあります。コアファイルをクリーンな状態に入れ替えることで、そこに潜むマルウェアを除去できます。
- 管理画面 →「ダッシュボード」→「更新」を開く
- 「WordPress X.X.X を再インストール」ボタンをクリックする
- 完了後、サイトの動作を確認する
ステップ3:すべてのプラグインとテーマを再インストールする
プラグインやテーマのファイルにもマルウェアが仕込まれていることがあります。以下の手順で一度すべて削除してから、公式から最新版を再インストールしましょう。
- 管理画面のプラグイン一覧から、使用中のプラグインをすべて「無効化」してから「削除」する(設定データは残る)
- WordPress公式ディレクトリまたは購入元から、各プラグインの最新版をダウンロードして再インストールする
- 使用中のテーマも同様に削除して公式から再インストールする
- 子テーマを使っている場合は、functions.phpなどカスタマイズしたファイルのコードを確認して、不審なコードが混入していないかチェックする
「無効化」と「削除」は違います。プラグインを削除してもデータベースに保存された設定データは残るため、記事・投稿データは消えません。ただしプラグイン独自のデータ(フォームの送信データなど)は消える場合があるため、事前にバックアップを取っておきましょう。
ステップ4:.htaccessとwp-config.phpを確認する
.htaccess(アクセス設定ファイル)とwp-config.php(WordPress設定ファイル)にも、マルウェアのコードが書き込まれることがあります。FTPでこれらのファイルをダウンロードして内容を確認しましょう。
.htaccessをWordPressの標準コードと見比べて、見慣れない記述があれば削除します。WordPressの標準的な.htaccessの内容は以下のとおりです。
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPressこれ以外のコードが追加されている場合(特にbase64_decode、eval、gzinflate、str_rotなどの関数を使ったコード)は、マルウェアのコードである可能性が高いです。
ステップ5:データベースを確認する
マルウェアはWordPressのデータベースにも不正なコードを埋め込むことがあります。特に記事の本文(wp_postsテーブル)やサイトの設定(wp_optionsテーブル)に不正なリダイレクトコードが仕込まれるケースが多く見られます。
phpMyAdminで「検索」機能を使って、以下のような不審なキーワードが含まれていないか確認してください。
base64_decode:エンコードされたマルウェアのコードによく使われるeval(:不正なコードを実行するために使われる<script>の不審な挿入:見覚えのないスクリプトタグ- 見知らぬ外部URLへのリンク:spam-site.comなど不審なURLが含まれる記事
バックアップから復旧する(感染の範囲が広い場合)
感染の範囲が広く、手動での駆除が難しい場合は、感染前のバックアップから復旧するのが確実で最も速い方法です。
感染前のバックアップから復旧する手順
- いつ感染したかを特定する(Googleサーチコンソールの警告日時、サーバーのアクセスログ、ファイルの更新日時などを参考にする)
- 感染前の日付のバックアップを選ぶ(感染後のバックアップを使うとマルウェアごと復元されてしまうため注意)
- UpdraftPlusやサーバーの自動バックアップから復元する
- 復元後、すぐにWordPress・プラグイン・テーマをすべて最新版に更新する
- セキュリティ強化の設定を行い(後述)、再度スキャンして問題がないか確認する
復旧後に絶対やるべき再発防止策
マルウェアを駆除したら終わりではありません。同じ侵入経路から再感染しないよう、必ず以下の再発防止策を実施してください。これをやらないと、駆除してもすぐに再感染することがあります。
WordPress・プラグイン・テーマを最新版に更新する
古いバージョンのWordPressやプラグインには「脆弱性(ぜいじゃくせい)」と呼ばれるセキュリティの穴が存在します。攻撃者はこの穴を突いてマルウェアを侵入させます。常に最新バージョンに保つことが、最も基本的な防御策です。
- WordPressのコアファイル(管理画面 →「ダッシュボード」→「更新」)
- すべてのプラグイン
- 使用中のテーマ
- サーバーのPHPバージョン(2026年現在の推奨はPHP 8.1~8.2)
使っていないプラグイン・テーマは削除する
無効化しているだけのプラグインやテーマも、脆弱性があれば攻撃の対象になります。使わないものは必ず「削除」してください。特にWordPressをインストールした時点でデフォルトで入っている「Twenty Twenty-Three」などの使っていない標準テーマも削除しましょう。
セキュリティプラグインを導入して不正アクセスを防ぐ
復旧後のサイトを守るために、セキュリティプラグインを導入しましょう。わたしが開発した無料プラグイン「クイックレスキュー365」は、インストールするだけて8つのセキュリティ対策が有効になります。
- 不正ログインをブロック(辞書攻撃・総当たり攻撃を自動遷断)
- ログインURLを変更(攻撃者に管理画面の入口を教えない)
- XMLRPC遷断(遠隔操作による攻撃をシャットアウト)
- ユーザー名漏えい防御・ログインエラーメッセージ統一
- UploadsフォルダPHP動作禁止(画像フォルダからのウイルス実行を防止)
定期バックアップを設定する
今後同じようなトラブルが起きても迅速に対処できるよう、定期バックアップを必ず設定してください。UpdraftPlusを使えば週1回以上の自動バックアップを5分で設定でき、Google DriveやDropboxなどサーバーとは別の場所に保存できます。
Googleサーチコンソールに再審査をリクエストする
Googleにマルウェアサイトとしてマークされている場合は、駆除完了後に「再審査リクエスト」を送る必要があります。これをしないと、Googleの警告表示が解除されません。
- Googleサーチコンソールにログインする
- 左メニューの「セキュリティと手動による対策」→「セキュリティの問題」を開く
- 問題の一覧を確認して「修正を要求」をクリックする
- 駆除の内容と対策を記載して送信する
- Googleの審査結果を待つ(通常数日~数週間かかる)
マルウェア感染・復旧手順まとめ
マルウェア感染は深刻な問題ですが、正しい手順で対処すれば復旧できます。榀てず、この記事の手順を順番に実施してください。
- 【確認】Google セーフブラウジングやサーチコンソールで感染の有無を確認する
- 【応急処置】サイトをメンテナンスモードにして訪問者への被害を防ぐ
- 【応急処置】WordPress・サーバー・FTP・データベースのパスワードをすべて変更する
- 【応急処置】不審な管理者アカウントを削除する
- 【駆除】Wordfenceでスキャンして感染ファイルを特定・削除する
- 【駆除】コアファイル・プラグイン・テーマを再インストールする
- 【駆除】.htaccessとwp-config.phpの内容を確認・クリーンアップする
- 【再発防止】WordPress・プラグイン・テーマをすべて最新版に更新する
- 【再発防止】クイックレスキュー365などのセキュリティプラグインを導入する
- 【再発防止】UpdraftPlusで定期バックアップを設定する
- 【後処理】Googleサーチコンソールに再審査リクエストを送る
感染範囲が広い場合や、自己解決が難しい場合は、自己解決にこだわらず専門家に相談することを強くおすすめします。対処が遅れるほど被害が拡大し、復旧にかかる時間とコストも増えます。
ホームページの乗っ取りが自分で解決できない時は

ホームページの乗っ取り・マルウェア感染・不正アクセスでお困りなら、
クイックレスキューが解決します。
- ホームページが乗っ取られた・改ざんされた
- 管理画面にログインできなくなった
- 変なサイトにリダイレクトされている
- Googleに危険なサイトと表示されている
- 自分で復旧しようとしたが直らない
- WordPressを復旧・修正したい
- 万一復旧できない場合やマルウェア駆除できない場合は全額返金保証で安心
- 90日間再感染保証・動作保証で安心
- 初期費用・調査費用0円で安心
