マルウェアに感染したWordPressを復旧する手順と注意点まとめ

マルウェア感染したWordPressの復旧を表すアイキャッチ画像。警告や不正コードを除去し、サイトを安全に復旧するイラスト。

「サイトを開いたら知らないページにリダイレクトされる」「Googleに「このサイトは危険です」と表示されている」「管理画面に見知らぬ管理者アカウントが増えている」……

こういった症状が出た時、WordPressがマルウェアに感染している可能性があります。マルウェアとは「悪意あるソフトウェア」の総称で、WordPressに侵入して不正な動作を引き起こします。放置するとサイトの信頼性が失われ、Googleの検索結果から除外されることもあります。

この記事では「マルウェアに感染してしまった」と気づいた時に、初心者でも落ち着いて対処できるよう、復旧の手順と注意点をわかりやすく解説します。

よこやま良平

ITエンジニアとして20年以上WordPressに携わってきたよこやま良平です。多数のサイト復旧を手がけてきたわたしが、マルウェア感染時の対処法と再発防止策を丁寍に解説します。

この記事でわかること
  • WordPressのマルウェア感染に気づくサインと確認方法
  • 感染が発覚したらすぐやるべき4つの応急処置
  • マルウェアを自分で駆除するための手順
  • 復旧後に絶対やるべき再発防止策
  • 自分で解決できない場合の相談先

まずは「マルウェアに感染しているかどうか」を確認するところから始めましょう。

目次

マルウェア感染のサインを確認する

マルウェアはこっそりサイトに侵入するため、気づかないまま放置してしまうことがあります。以下のサインに心当たりがないか確認してみましょう。1つでも当てはまる場合は、早急に対処が必要です。

マルウェア感染のよくあるサイン
  • サイトを開くと全く知らないサイトに飛ばされる(リダイレクト)
  • Googleで自分のサイトを検索すると「このサイトは危険です」「フィッシングサイト」などの警告が表示される
  • 管理画面に見覚えのない管理者アカウントが追加されている
  • サイトの一部のページに身に覚えのない広告・リンク・テキストが表示されている
  • サーバーから「不正なファイルが検出されました」という通知が届いた
  • サイトの表示が極端に遅くなった
  • Googleサーチコンソールに「有害なコンテンツ」の警告が届いた

Googleのセーフブラウジングで感染確認する

Googleが提供している「セーフブラウジング透明性レポート」を使えば、自分のサイトが危険なサイトとしてマークされていないか、無料で簡単に確認できます。

Googleセーフブラウジングで確認する方法
  1. ブラウザで「Google セーフブラウジング」と検索する
  2. 「サイトのステータスを確認する」ページを開く
  3. 入力欄に自分のサイトURLを入力して確認する
  4. 「現在の危険性はありません」と表示されれば安全、警告が表示された場合は感染の可能性がある

感染が発覚したらすぐやるべき4つの応急処置

マルウェア感染が確認できたら、まず次の4つの応急処置をすぐに行ってください。これを先にやることで、被害の拡大を防ぐことができます。

応急処置①サイトをメンテナンスモードにする

マルウェアに感染したサイトをそのまま公開し続けると、訪問者の端末にも被害が及ぶ可能性があります。「メンテナンス中」と表示して、一時的にサイトへのアクセスをブロックしましょう。

管理画面に入れる場合は「LightStart – Maintenance Mode」などのプラグインを使えば、数クリックでメンテナンスモードにできます。管理画面に入れない場合は、レンタルサーバーのコントロールパネルから「アクセス制限」機能を使って一時的にサイトへのアクセスを制限しましょう。

応急処置②すべてのパスワードを変更する

感染が確認されたら、以下のパスワードをすべて変更してください。マルウェアによってパスワードが盗まれている可能性があるため、早急な対応が必要です。

今すぐ変更すべきパスワード一覧
  • WordPressの管理者パスワード(全管理者アカウント)
  • レンタルサーバーのコントロールパネルのパスワード
  • FTPのパスワード
  • データベース(MySQL)のパスワード
  • WordPressの登録メールアカウントのパスワード

応急処置③見知らぬ管理者アカウントを削除する

管理画面に入れる場合は、「ユーザー」の一覧を確認して、見覚えのないアカウントがないかチェックしてください。不審なアカウントが見つかったら即座に削除します。

管理画面に入れない場合は、phpMyAdminのwp_usersテーブルから不審なユーザーを削除することもできます。ただしこの操作はデータベースを直接操作するため、慎重に行いましょう。

応急処置④バックアップを確保する(感染前のものを)

定期バックアップを取っていた場合は、感染前の日付のバックアップを確保してください。ただし、感染がいつ起きたかを特定してからバックアップを選ぶことが重要です。感染後のバックアップを使っても、マルウェアごと復元されてしまいます。

今後のためにバックアップを取っていなかった場合は、レンタルサーバーの自動バックアップ機能を確認してください。エックスサーバーやConoHa WINGなど多くのサーバーは、過去7~14日分のバックアップを保持しています。

マルウェアを駆除する手順(自分でできる方法)

応急処置が完了したら、マルウェアの駆除に取り組みます。完全な駆除には専門知識が必要なケースもありますが、まずは自分でできる基本の手順から進めましょう。

ステップ1:セキュリティプラグインでスキャンする

まずWordPressのセキュリティプラグインを使って、感染しているファイルを特定します。「Wordfence Security」は代表的なセキュリティプラグインで、マルウェアのスキャン機能を備えています。

Wordfenceでスキャンする手順
  1. 管理画面 →「プラグイン」→「Wordfence Security」をインストール・有効化する
  2. 管理画面左メニューの「Wordfence」→「スキャン」を開く
  3. 「新しいスキャンを開始」をクリックする
  4. スキャン完了後、「スキャン結果」に表示された問題のあるファイルを確認する
  5. 「すべての削除可能ファイルを削除」または問題のあるファイルを個別に対処する

【※画像挿入※ Wordfenceのスキャン結果画面】

Wordfenceの無料版でもスキャン機能は使えますが、シグネチャ(マルウェアの定義ファイル)は30日間遅れて提供されます。より精度の高いスキャンが必要な場合は有料版の利用を検討してください。

ステップ2:WordPressのコアファイルを再インストールする

マルウェアはWordPressのコアファイル(WordPress本体のプログラムファイル)に潜り込んでいることがあります。コアファイルをクリーンな状態に入れ替えることで、そこに潜むマルウェアを除去できます。

コアファイルを再インストールする手順
  1. 管理画面 →「ダッシュボード」→「更新」を開く
  2. 「WordPress X.X.X を再インストール」ボタンをクリックする
  3. 完了後、サイトの動作を確認する

ステップ3:すべてのプラグインとテーマを再インストールする

プラグインやテーマのファイルにもマルウェアが仕込まれていることがあります。以下の手順で一度すべて削除してから、公式から最新版を再インストールしましょう。

プラグイン・テーマを再インストールする手順
  1. 管理画面のプラグイン一覧から、使用中のプラグインをすべて「無効化」してから「削除」する(設定データは残る)
  2. WordPress公式ディレクトリまたは購入元から、各プラグインの最新版をダウンロードして再インストールする
  3. 使用中のテーマも同様に削除して公式から再インストールする
  4. 子テーマを使っている場合は、functions.phpなどカスタマイズしたファイルのコードを確認して、不審なコードが混入していないかチェックする
注意

「無効化」と「削除」は違います。プラグインを削除してもデータベースに保存された設定データは残るため、記事・投稿データは消えません。ただしプラグイン独自のデータ(フォームの送信データなど)は消える場合があるため、事前にバックアップを取っておきましょう。

ステップ4:.htaccessとwp-config.phpを確認する

.htaccess(アクセス設定ファイル)とwp-config.php(WordPress設定ファイル)にも、マルウェアのコードが書き込まれることがあります。FTPでこれらのファイルをダウンロードして内容を確認しましょう。

.htaccessをWordPressの標準コードと見比べて、見慣れない記述があれば削除します。WordPressの標準的な.htaccessの内容は以下のとおりです。

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

これ以外のコードが追加されている場合(特にbase64_decode、eval、gzinflate、str_rotなどの関数を使ったコード)は、マルウェアのコードである可能性が高いです。

ステップ5:データベースを確認する

マルウェアはWordPressのデータベースにも不正なコードを埋め込むことがあります。特に記事の本文(wp_postsテーブル)やサイトの設定(wp_optionsテーブル)に不正なリダイレクトコードが仕込まれるケースが多く見られます。

phpMyAdminで「検索」機能を使って、以下のような不審なキーワードが含まれていないか確認してください。

データベースで検索する不審なキーワード
  • base64_decode:エンコードされたマルウェアのコードによく使われる
  • eval(:不正なコードを実行するために使われる
  • <script>の不審な挿入:見覚えのないスクリプトタグ
  • 見知らぬ外部URLへのリンク:spam-site.comなど不審なURLが含まれる記事

データベースの直接操作は、誤るとサイトが壊れる可能性があります。phpMyAdminで作業する前に必ずデータベースのバックアップ(エクスポート)を取ってから作業してください。不安な場合は専門家への依頼をおすすめします。

バックアップから復旧する(感染の範囲が広い場合)

感染の範囲が広く、手動での駆除が難しい場合は、感染前のバックアップから復旧するのが確実で最も速い方法です。

感染前のバックアップから復旧する手順

バックアップからの復旧手順
  1. いつ感染したかを特定する(Googleサーチコンソールの警告日時、サーバーのアクセスログ、ファイルの更新日時などを参考にする)
  2. 感染前の日付のバックアップを選ぶ(感染後のバックアップを使うとマルウェアごと復元されてしまうため注意)
  3. UpdraftPlusやサーバーの自動バックアップから復元する
  4. 復元後、すぐにWordPress・プラグイン・テーマをすべて最新版に更新する
  5. セキュリティ強化の設定を行い(後述)、再度スキャンして問題がないか確認する

主要なレンタルサーバーのバックアップ復元場所:エックスサーバーは「サーバーパネル → バックアップ」、ConoHa WINGは「コントロールパネル → サイト管理 → バックアップ → 復元」、さくらインターネットは「コントロールパネル → サーバー情報 → バックアップ」からそれぞれ操作できます。

復旧後に絶対やるべき再発防止策

マルウェアを駆除したら終わりではありません。同じ侵入経路から再感染しないよう、必ず以下の再発防止策を実施してください。これをやらないと、駆除してもすぐに再感染することがあります。

WordPress・プラグイン・テーマを最新版に更新する

古いバージョンのWordPressやプラグインには「脆弱性(ぜいじゃくせい)」と呼ばれるセキュリティの穴が存在します。攻撃者はこの穴を突いてマルウェアを侵入させます。常に最新バージョンに保つことが、最も基本的な防御策です。

更新すべき項目
  • WordPressのコアファイル(管理画面 →「ダッシュボード」→「更新」)
  • すべてのプラグイン
  • 使用中のテーマ
  • サーバーのPHPバージョン(2026年現在の推奨はPHP 8.1~8.2)

使っていないプラグイン・テーマは削除する

無効化しているだけのプラグインやテーマも、脆弱性があれば攻撃の対象になります。使わないものは必ず「削除」してください。特にWordPressをインストールした時点でデフォルトで入っている「Twenty Twenty-Three」などの使っていない標準テーマも削除しましょう。

セキュリティプラグインを導入して不正アクセスを防ぐ

復旧後のサイトを守るために、セキュリティプラグインを導入しましょう。わたしが開発した無料プラグイン「クイックレスキュー365」は、インストールするだけて8つのセキュリティ対策が有効になります。

クイックレスキュー365の主な機能(無料)
  • 不正ログインをブロック(辞書攻撃・総当たり攻撃を自動遷断)
  • ログインURLを変更(攻撃者に管理画面の入口を教えない)
  • XMLRPC遷断(遠隔操作による攻撃をシャットアウト)
  • ユーザー名漏えい防御・ログインエラーメッセージ統一
  • UploadsフォルダPHP動作禁止(画像フォルダからのウイルス実行を防止)

定期バックアップを設定する

今後同じようなトラブルが起きても迅速に対処できるよう、定期バックアップを必ず設定してください。UpdraftPlusを使えば週1回以上の自動バックアップを5分で設定でき、Google DriveやDropboxなどサーバーとは別の場所に保存できます。

Googleサーチコンソールに再審査をリクエストする

Googleにマルウェアサイトとしてマークされている場合は、駆除完了後に「再審査リクエスト」を送る必要があります。これをしないと、Googleの警告表示が解除されません。

Googleへの再審査リクエストの手順
  1. Googleサーチコンソールにログインする
  2. 左メニューの「セキュリティと手動による対策」→「セキュリティの問題」を開く
  3. 問題の一覧を確認して「修正を要求」をクリックする
  4. 駆除の内容と対策を記載して送信する
  5. Googleの審査結果を待つ(通常数日~数週間かかる)
マルウェアに感染してもサイトのデータは消えませんか?

マルウェア感染そのものでデータが消えることは少ないですが、攻撃者がデータを削除したり、復旧作業中に誤って削除してしまうリスクがあります。作業前に必ず現状のバックアップを取ってから進めてください。

Wordfenceでスキャンしても問題が検出されませんでした。感染していませんか?

スキャンで検出されなくても、感染していないとは限りません。最新のマルウェアはセキュリティプラグインの検出をすり抜けるよう作られているものもあります。症状が続く場合は、サーバー側のアクセスログを確認するか、専門家による調査をおすすめします。

感染の原因を特定することはできますか?

サーバーのアクセスログやWordPressのログを解析することで、攻撃の経路をある程度特定できます。ただし専門知識が必要なため、一般の方には難しい場合があります。再発防止のためには原因を特定することが重要なので、専門家への相談をおすすめします。

自分での対処が難しいと感じています。どこに相談すればいいですか?

WordPress専門の復旧・セキュリティサービスに相談するのが確実です。特にビジネスサイトや会員サイトの場合はダウンタイムが長くなるほど損失も大きくなるため、早めの専門家への相談をおすすめします。クイックレスキューでは最短30分での対応が可能です。

マルウェア感染・復旧手順まとめ

マルウェア感染は深刻な問題ですが、正しい手順で対処すれば復旧できます。榀てず、この記事の手順を順番に実施してください。

マルウェア対応チェックリスト
  1. 【確認】Google セーフブラウジングやサーチコンソールで感染の有無を確認する
  2. 【応急処置】サイトをメンテナンスモードにして訪問者への被害を防ぐ
  3. 【応急処置】WordPress・サーバー・FTP・データベースのパスワードをすべて変更する
  4. 【応急処置】不審な管理者アカウントを削除する
  5. 【駆除】Wordfenceでスキャンして感染ファイルを特定・削除する
  6. 【駆除】コアファイル・プラグイン・テーマを再インストールする
  7. 【駆除】.htaccessとwp-config.phpの内容を確認・クリーンアップする
  8. 【再発防止】WordPress・プラグイン・テーマをすべて最新版に更新する
  9. 【再発防止】クイックレスキュー365などのセキュリティプラグインを導入する
  10. 【再発防止】UpdraftPlusで定期バックアップを設定する
  11. 【後処理】Googleサーチコンソールに再審査リクエストを送る

感染範囲が広い場合や、自己解決が難しい場合は、自己解決にこだわらず専門家に相談することを強くおすすめします。対処が遅れるほど被害が拡大し、復旧にかかる時間とコストも増えます。

ホームページの乗っ取りが自分で解決できない時は

WordPress修復マルウェア駆除トラブル専門「クイックレスキュー」

ホームページの乗っ取り・マルウェア感染・不正アクセスでお困りなら、
クイックレスキューが解決します。

こんなお悩みはありませんか?
  • ホームページが乗っ取られた・改ざんされた
  • 管理画面にログインできなくなった
  • 変なサイトにリダイレクトされている
  • Googleに危険なサイトと表示されている
  • 自分で復旧しようとしたが直らない
  • WordPressを復旧・修正したい

こんなお悩みなら最短30分ですぐに解決します!
いまなら期間限定で3つの安心保証

3つの安心保証
  • 万一復旧できない場合やマルウェア駆除できない場合は全額返金保証で安心
  • 90日間再感染保証・動作保証で安心
  • 初期費用・調査費用0円で安心

この記事を書いた専門家

こんにちは!20年以上ITエンジニアとして活動してきた
よこやま良平です。

Wordpress復旧やサイト修復、オンライン講座では
776件以上のレビューを頂いており

「すぐに復旧してくれる!」
「当日行ってくれて助かった!」など

評価は4.9/5.0と非常に高く好評です。

またWordPress、SEO、Officeなど30冊以上の書籍を出版しており、
売上ランキング1位を連続で獲得致しました。

その他これまでに3000以上のサービス・システム・サイトを作成。

多くの方の「できない」や「悩み」を解決してきました。
その観点からわかりやすく解説しています。

目次