WordPressがマルウェアに感染したらすぐやること7選|プロが解説【緊急対応】

  • 投稿日
  • 著者 よこやま良平
  • カテゴリー Wordpress

「WordPressサイトがマルウェアに感染したかもしれない…」と気づいたとき、パニックになるのは当然です。しかし、焦って誤った対処をすると被害が広がる可能性があります。

20年以上のITエンジニア歴を持ち、WordPressの復旧・セキュリティ対策で200件以上のレビューを獲得してきました。
その現場経験から言えることは、感染直後の初動対応が被害の大きさを決めるということです。

この記事では、WordPressがマルウェアに感染したときに今すぐやるべき7つの対処法を、手順ごとにわかりやすく解説します。自分でできる作業と、プロに任せるべき判断基準も明示しますので、ぜひ最後まで読んで冷静に対応してください。

使い方から収益化までプロが教える
WordPressの教科書

「もう限界かもしれない…」
そんな思いで立ち止まっていませんか?

「収益が一向に増えず、事業を続ける意味に迷い始めている」
「クラウドソーシングや営業して稼げるか不安だ」
「収益化したいけれど、YouTubeや書籍では解決できなかった」
「WordPressでLP制作を頼まれるが、具体的な方法がわからない」
「広告を出稿したが、まったく成果が出なくて悩んでいる」
「仕事でグラフや資料制作を思うように作れない」
「独学の限界を感じ、でも何から学ぶべきかわからない」

これらの悩みを抱えているのは、
あなただけではありません。

多くのフリーランスや経営者が、
同じ壁にぶつかっています。

その壁を越えるための「本物の解決策」が、ここにあります。

私たちはこれまで、
数多くのフリーランスや経営者が収益化に成功するための
お手伝いをしてきました。

WordPressでホームページやブログを作るスキルだけでなく、
広告を最大限活用して集客し、
売上を上げるノウハウを惜しみなくお伝えします。

「成果が出る広告の作り方」
「売れるホームページを構築する秘訣」
「初心者でも成果を上げるための実践的なステップ」

これらを余すことなく提供するWordPressの教科書を、
今なら無料で受け取れます!

WordPressの教科書

\先着300名限定!特典付きで無料配布中/

今すぐ無料ダウンロードする

いまなら、先着300部限定で無料プレゼント付です。

今すぐ無料ダウンロードする

WordPressのマルウェア感染とは?まず状況を把握しよう

マルウェア(malware)とは、悪意のあるソフトウェアの総称です。WordPressサイトに感染すると、ウイルスの拡散・スパムメールの送信・個人情報の盗取・サイトの改ざんなど、深刻な被害を引き起こします。

まず冷静に「本当に感染しているのか」を確認することが重要です。焦って全ファイルを削除するような行動は、逆に復旧を困難にします。

マルウェア感染の代表的な症状

以下の症状が出ている場合は、マルウェア感染の可能性が高いです。1つでも該当するなら、すぐに次のセクションの対処に進んでください。

感染が疑われる症状チェックリスト
  • サイトを開くと見知らぬサイトにリダイレクトされる
  • Googleの検索結果に「このサイトは危険です」と表示される
  • 管理画面にログインできなくなった
  • 身に覚えのない管理者アカウントが追加されている
  • サイトの表示が突然おかしくなった(文字化け・謎のリンク追加など)
  • サーバーからスパムメールが大量送信されている
  • ホスティング会社からアカウント停止の通知が届いた

感染に気づく主なきっかけ

実際の現場では、以下の3つのきっかけで感染が発覚するケースが多いです。

1. Googleサーチコンソールからの警告メール
Googleがサイトをクロールした際にマルウェアを検知すると、登録メールアドレスに警告が届きます。

2. ホスティング会社からのアカウント停止通知
スパム送信やリソース過剰消費を検知したホスティング会社が、自動的にアカウントを停止するケースがあります。

3. ユーザーや知人からの報告
「あなたのサイトに変なポップアップが出る」「別のサイトに飛ばされる」という連絡で初めて気づくことも少なくありません。

WordPressがマルウェアに感染したらすぐやること7選

感染が確認できたら、以下の7ステップを順番通りに実行してください。順序が重要です。飛ばさずに進めましょう。

①サイトをメンテナンスモードにして被害拡大を防ぐ

まず最初にやるべきことは、サイトへのアクセスを止めることです。感染したサイトにアクセスし続けることで、訪問者にもマルウェアが拡散する可能性があります。

ホスティング会社の管理パネルからサイトを一時停止するか、FTPで index.php を書き換えてメンテナンスページを表示させましょう。WordPressの管理画面にアクセスできる場合は、メンテナンスモードプラグインを使うのも有効です。

絶対にやってはいけないこと

感染に気づいてもサイトを公開し続けることは、訪問者へのウイルス拡散・Googleによるブラックリスト登録・SEO評価の大幅ダウンにつながります。発見次第すぐにアクセスを止めてください。

②感染状態のままバックアップを取得する

「感染したままバックアップ?」と思うかもしれませんが、これは重要なステップです。

感染ファイルのバックアップを取っておくことで、後から「どのファイルが改ざんされたか」を正常なファイルと比較して特定できます。また、誤って必要なファイルを削除してしまった場合の復元にも使えます。

FTPまたはホスティングのファイルマネージャーから、サイト全体とデータベース(MySQL)をダウンロードして保存してください。

③ホスティング会社のサポートに連絡する

サイトがマルウェアに感染した場合、ホスティング会社に連絡することを強くおすすめします。

多くのホスティング会社は、マルウェアスキャンツールの提供・感染ファイルの自動検出・サーバーレベルでのクリーンアップ支援を行っています。自分で対処する前に、まず問い合わせてみましょう。サーバーのアクセスログも提供してもらえると、侵入経路の特定に役立ちます。

④マルウェアスキャンを実行して感染箇所を特定する

管理画面にアクセスできる場合は、セキュリティプラグインでスキャンを実行します。代表的なプラグインは以下の通りです。

マルウェアスキャンに使えるプラグイン
  • Wordfence Security:無料で使える高機能スキャナー。感染ファイルを一覧表示してくれる
  • Sucuri Security:クラウドベースのスキャン。外部からサイトを診断できる
  • MalCare Security:AIによる高精度スキャンと自動クリーンアップ機能あり

管理画面にアクセスできない場合は、FTPでファイルをダウンロードしてローカルのウイルス対策ソフトでスキャンするか、サーバー側のスキャンツールを使います。

WordPressマルウェア感染とマルウェアスキャン方法

WordPressマルウェア感染とマルウェアスキャン方法

⑤感染ファイルを削除・修正する

スキャンで感染ファイルが特定できたら、削除または修正を行います。ここが最も慎重さが必要な作業です。

WordPressのコアファイル(wp-admin・wp-includes内のファイル)が改ざんされている場合は、公式サイトから同じバージョンのWordPressをダウンロードして、クリーンなファイルで上書きするのが確実です。

テーマファイルやプラグインファイルが感染している場合は、それらを削除して公式リポジトリから再インストールします。カスタマイズしている場合は、バックアップと比較しながら修正箇所を特定してください。

マルウェアの隠し場所として特に要チェックのファイル
  • .htaccess(リダイレクトコードが仕込まれやすい)
  • wp-config.php(DB情報の盗取に悪用される)
  • functions.php(テーマファイルに不正コードを追加)
  • アップロードフォルダ内のPHPファイル(正規ファイルに紛れ込む)
WordPressでよく見つかるマルウェアファイル名一覧と安全な削除方法|感染時の初動と復旧手順

WordPressでよく見つかるマルウェアファイル名一覧と安全な削除方法|感染時の初動と復旧手順

⑥すべてのパスワードを変更する

マルウェアが侵入した場合、パスワード情報が盗まれている可能性があります。感染ファイルを駆除したら、関連するすべてのパスワードを変更してください。

変更が必要なパスワード一覧
  • WordPressの全管理者・ユーザーのパスワード
  • データベース(MySQL)のパスワード(wp-config.phpも更新)
  • FTP・SFTPアカウントのパスワード
  • ホスティング管理パネルのパスワード
  • ドメイン管理会社のパスワード

また、身に覚えのない管理者アカウントが追加されていないかも確認し、不審なアカウントはすぐに削除してください。

⑦Googleへの再審査リクエストを送る

Googleにサイトがブラックリスト登録されている場合は、クリーンアップ完了後にGoogleサーチコンソールから再審査リクエストを送る必要があります。

手順はサーチコンソールにログイン → 「セキュリティの問題」 → 問題を確認 → 「これらの問題を修正しました」からリクエストを送信します。審査には数日〜1週間程度かかることがあります。

ブラックリスト登録されていない場合でも、サーチコンソールで「セキュリティの問題」を確認し、異常がないかチェックしておきましょう。

WordPressマルウェア感染の主な原因と侵入経路

被害を繰り返さないためには、感染の原因を正確に把握することが重要です。200件以上の復旧経験から見えてきた、感染の主な原因を解説します。

脆弱なプラグイン・テーマ(最も多い原因)

WordPressへの攻撃の大半は、古いプラグインやテーマの脆弱性を突いたものです。プラグインやテーマの更新を放置しているサイトは、既知の脆弱性を攻撃者に利用されるリスクが非常に高くなります。

特に危険なのは、長期間更新されていない放置プラグインです。使っていないプラグインは有効化しているかどうかに関わらず、削除するのが鉄則です。

弱いパスワードとブルートフォース攻撃

「admin」「password123」のような推測されやすいパスワードを使っているサイトは、ブルートフォース攻撃(総当たり攻撃)の格好のターゲットになります。

ボットによる自動ログイン試行は、1分間に何千回も実行されます。ログインURLの変更・二段階認証の設定・ログイン試行回数の制限は今すぐ設定すべき基本的な対策です。

信頼できないソースからのプラグイン・テーマ

有料テーマやプラグインを無料で入手できる「ワレズサイト」や「nulledサイト」からダウンロードしたファイルには、最初からマルウェアが仕込まれていることがほぼ確実です。

筆者が対応した案件でも、nulledプラグインが感染源だったケースは数多くあります。プラグイン・テーマは必ず公式リポジトリまたは正規販売店から入手してください。

WordPressマルウェア駆除後に必ずやるべき再発防止策

マルウェアを駆除しても、セキュリティ対策をしなければ再感染します。駆除後は必ず以下の対策を実施してください。

セキュリティプラグインを導入する

WordPressには優秀なセキュリティプラグインが複数あります。定期スキャン・ファイアウォール・ログイン制限などの機能をまとめて提供してくれるものを選びましょう。

無料で使えるWordfence Securityは、機能・実績ともに信頼性が高く、初めてセキュリティプラグインを導入する方に特におすすめです。

WordPress必須セキュリティプラグイン13選|機能比較・初心者向けおすすめ構成

WordPress必須セキュリティプラグイン13選|機能比較・初心者向けおすすめ構成

定期バックアップを設定する

万が一再感染した場合でも、バックアップがあれば迅速に復旧できます。バックアップは「1日1回以上・3世代以上保持・外部ストレージに保存」が基本です。

UpdraftPlusなどのプラグインを使えば、Google DriveやDropboxへの自動バックアップを無料で設定できます。

WordPressのバックアップを自動化する最強の方法|UpdraftPlus・BackWPup・Ai1WMの使い分けガイド

WordPressのバックアップを自動化する最強の方法|UpdraftPlus・BackWPup・Ai1WMの使い分けガイド

WordPressとプラグインを常に最新バージョンに保つ

WordPress本体・プラグイン・テーマのアップデートを怠らないことが、感染予防の最も基本的かつ効果的な対策です。

WordPress管理画面の「設定 → 自動更新」からマイナーアップデートの自動適用を有効にしておくと、管理の手間を減らせます。ただし、メジャーアップデートはサイトへの影響確認後に手動で行いましょう。

WordPressマルウェア駆除が自分で対処できないときはプロへの依頼を検討しよう

マルウェアの種類によっては、自力での完全駆除が非常に困難なケースがあります。以下に当てはまる場合は、プロへの依頼を検討してください。

プロへの依頼を検討すべきケース
  • スキャンしても感染ファイルが特定できない
  • 駆除してもすぐに再感染する
  • 管理画面にまったくアクセスできない
  • サイトで顧客の個人情報・クレジットカード情報を扱っている
  • Googleブラックリストへの登録が解除されない

筆者自身もWordPressのマルウェア駆除・復旧を専門に対応しています。200件以上の実績と評価4.9/5.0の信頼をもとに、迅速かつ確実に復旧いたします。「自分では無理」と感じたら、お気軽にご相談ください。

WordPress修復・改ざん・マルウェア感染・不具合を解決!クイックレスキュー

WordPress修復・改ざん・マルウェア感染・不具合を解決!クイックレスキュー

Q
WordPressのマルウェア感染は自分で直せますか?
A

軽度の感染であれば、この記事で紹介した手順で自力対処できるケースもあります。しかし、管理画面にアクセスできない・駆除後に再感染するなど深刻な場合はプロへの依頼が確実です。判断に迷う場合は専門家に相談することをおすすめします。

Q
マルウェアに感染したWordPressサイトはGoogleに検索結果から削除されますか?
A

Googleがサイトのマルウェアを検知した場合、検索結果に「このサイトは危険です」と警告が表示されたり、インデックスから除外されることがあります。駆除完了後にサーチコンソールから再審査リクエストを送ることで、通常は数日以内に解除されます。

Q
感染したWordPressサイトはWordPressを再インストールすれば直りますか?
A

WordPressを再インストールするだけでは不十分な場合がほとんどです。データベース・テーマ・プラグイン・アップロードフォルダにマルウェアが残っていれば、再インストール後も感染が継続します。必ずデータベースとすべてのファイルを含めてクリーンアップする必要があります。

Q
マルウェア駆除にかかる費用はどのくらいですか?
A

感染の深刻度によって異なりますが、一般的には数千円〜数万円程度が相場です。自動クリーンアップ機能付きのセキュリティプラグイン(MalCareなど)は月額数千円で利用できます。プロへの依頼は費用がかかりますが、再感染リスクを最小化できるメリットがあります。

WordPressのマルウェア感染は初動対応が命まとめ

WordPressがマルウェアに感染したときに今すぐやるべき7つの手順を解説しました。最後に要点を整理します。

感染時の対処7ステップ まとめ
  1. サイトをメンテナンスモードにして被害拡大を防ぐ
  2. 感染状態のままバックアップを取得する
  3. ホスティング会社のサポートに連絡する
  4. マルウェアスキャンを実行して感染箇所を特定する
  5. 感染ファイルを削除・修正する
  6. すべてのパスワードを変更する
  7. Googleへの再審査リクエストを送る

マルウェア感染は「自分のサイトには関係ない」と思っていると、ある日突然起きます。20年以上の現場経験から言えることは、対策にかけるコストより、感染後の復旧にかかるコストの方が何倍も大きいということです。

今すぐ対処が必要な方も、今後のために予防策を講じたい方も、ぜひこの記事を参考にWordPressのセキュリティを強化してください。

WordPressのマルウェア感染が自分で直せない時は

WordPress保守・不正アクセス対策・マルウェア駆除・WordPressクイックレスキュー365

WordPress保守・不正アクセス対策・マルウェア駆除・WordPressクイックレスキュー365

WordPressのトラブル、マルウェア感染・即解決。ワードプレスを復旧します。即日対応。全額返金保証で安心

ワードプレスのWordPressエラートラブル解決をしたいなら
クイックレスキューが解決します。

こんなお悩みはありませんか?

・WordPressが真っ白画面
・WordPressがログインできない
・ホームページのマルウェアや乗っ取り
・サイトの表示くずれ
・エラーが表示されている

これらでお悩みなら最短30分ですぐに解決します!

いまなら期間限定で

3つの安心

・万一改善されない場合は全額返金保証で安心!
30日間動作保証で安心!
初期費・調査料 0円で安心!

\無料調査・全額返金保証付き/

今すぐ無料で相談する
マルウェア感染

この記事を書いた人

よこやま良平

こんにちは!20年以上ITエンジニアとして活動してきた
よこやま良平です。

Wordpress復旧やサイト修復、オンライン講座では
200件以上のレビューを頂いており

「すぐに復旧してくれる!」
「当日行ってくれて助かった!」など

評価は4.9/5.0と非常に高く好評です。

またWordPress、SEO、Officeなど25冊以上の書籍を出版しており、
売上ランキング1位を連続で獲得致しました。

その他これまでに3000以上のサービス・システム・サイトを作成。

多くの方の「できない」や「悩み」を解決してきました。
その観点からわかりやすく解説しています。

記事一覧