よこやま良平 
WordPressサイトのマルウェア感染は、いま最も相談が多いトラブルのひとつです。
近年は自動化された攻撃ツールが普及し、個人ブログから企業サイトまで規模を問わず狙われています。
とくにWordPressは世界シェアが高いため、攻撃者が「弱点のあるテーマやプラグインを自動で探し、まとめて侵入する」仕組みを持つことが最大の理由です。
感染すると
- 意図しないリダイレクト
- 不正広告の表示
- サイトの表示速度低下
- 管理者アカウントの乗っ取り
- Search Consoleでの警告
など、深刻な異常が次々と発生します。
さらに、気づかないまま放置すれば検索順位の急落やインデックス削除につながり、売上や信頼まで損なうケースも少なくありません。
本記事では、WordPressで実際に増えているマルウェアの特徴、よくある感染ファイル名、不正コードの見分け方、そして確実に駆除する方法まで、初心者でも理解できるよう徹底解説します。
使い方から収益化までプロが教える
WordPressの教科書
「もう限界かもしれない…」
そんな思いで立ち止まっていませんか?
「収益が一向に増えず、事業を続ける意味に迷い始めている」
「クラウドソーシングや営業して稼げるか不安だ」
「収益化したいけれど、YouTubeや書籍では解決できなかった」
「WordPressでLP制作を頼まれるが、具体的な方法がわからない」
「広告を出稿したが、まったく成果が出なくて悩んでいる」
「仕事でグラフや資料制作を思うように作れない」
「独学の限界を感じ、でも何から学ぶべきかわからない」
これらの悩みを抱えているのは、
あなただけではありません。
多くのフリーランスや経営者が、
同じ壁にぶつかっています。
その壁を越えるための「本物の解決策」が、ここにあります。
私たちはこれまで、
数多くのフリーランスや経営者が収益化に成功するための
お手伝いをしてきました。
WordPressでホームページやブログを作るスキルだけでなく、
広告を最大限活用して集客し、
売上を上げるノウハウを惜しみなくお伝えします。
「成果が出る広告の作り方」
「売れるホームページを構築する秘訣」
「初心者でも成果を上げるための実践的なステップ」
これらを余すことなく提供するWordPressの教科書を、
今なら無料で受け取れます!
いまなら、先着300部限定で無料プレゼント付です。
目次
マルウェア感染のサイン|初心者でも気づける異変一覧
サイトが重い・404 / 500エラーが増える
マルウェアに感染すると、攻撃者が勝手にスクリプトを動かしたり、不正アクセス用のバックドア通信を行うため、サーバーに負荷がかかります。
その結果、ページの読み込みが極端に遅くなったり、
500(内部エラー)や404(ファイルが存在しない)といったエラーが頻発します。
とくに「昨日までは普通だったのに急に重くなった」という場合、
マルウェアがファイルを改ざんした可能性が高いサインです。
サイト速度の異常は、感染の初期症状としてもっとも気づきやすいポイントです。
マルウェア感染による不正広告や海外サイトへのリダイレクト
WordPressの感染で最も多いのが、ユーザーを意図しないサイトへ強制的に転送するリダイレクト型マルウェアです。
アクセスした瞬間にギャンブルサイト、広告だらけのページ、ウイルス警告ページなどに飛ばされる場合、ほぼ確実に不正コードが仕込まれています。
攻撃者に広告収益を渡す目的で仕掛けられることが多く、テーマファイルやJSファイルに悪質なスクリプトが埋め込まれているケースが典型です。
スマホだけで発生する場合もあるため注意が必要です。
Search Consoleの警告
Google Search Consoleで「セキュリティの問題」「ハッキングの可能性」「不正なリダイレクト」などの警告が出た場合、Googleがマルウェア感染を検知したことを意味します。
警告が表示されると、検索順位の大幅な下落や、最悪の場合インデックス削除につながります。
サイト運営にとって致命的な状態であり、早急に原因を調査する必要があります。
多くのサイト運営者はこの警告で初めて感染に気づくため、Search Consoleの定期チェックは非常に重要です。
見覚えのないファイル・ユーザー追加
FTP内に知らないPHPファイルが生成されていたり、uploadsフォルダに偽装画像ファイルが増えている場合は、マルウェアが侵入しバックドアを設置した可能性が高いです。
また、WordPress管理画面に“見覚えのない管理者ユーザー”が追加されるケースも、乗っ取りの典型的なサインです。
攻撃者はこのアカウントを使って再侵入するため、削除しても再生成されることがあります。
ファイル異常とユーザー追加は、深刻な感染が進行している証拠と考えてください。
WordPressで実際に見つかるよくあるマルウェア感染したファイル名
uploadsフォルダに紛れ込む不正PHP
WordPressで最も侵入されやすいのが、画像を保存する /wp-content/uploads/ フォルダです。
本来ここには画像やPDFなどしか入らないはずですが、攻撃者はPHPファイルを紛れ込ませてバックドア化します。
特によく見つかるファイル名は 1.php / img.php / cache.php / xyz.php など、短くて不自然な名前が特徴です。
また、表面は .jpg や .png の画像ファイルなのに、実際は中身がPHPコードという偽装手口も多く確認されています。
- 拡張子を変更しても画像が開けない
- ファイルサイズが妙に小さい or 大きい
- エディタで開くと PHPコード(eval, base64_decode など)が出てくる
uploads内にPHPがあった時点で“100%異常”なので、即調査が必要です。
テーマ内の改ざんファイル
マルウェアはテーマファイルにも仕込まれやすく、特に被害が多いのが functions.php / footer.php / header.php です。
- base64で難読化された怪しい長文コード
- 外部サイトへアクセスするJavaScript
- eval関数・gzuncompress・str_rot13などの処理
見た目はテーマの通常のコードに紛れるため、初心者は気づきにくいのが特徴です。
さらに「.○○○」というドットで始まる隠しファイルにも注意。(例:.ico.php .cache .well-known.php)
FTPソフトでは非表示になることが多く、テーマフォルダにいつの間にか置かれるバックドアとして定番の手口です。
wp-admin / wp-includes の偽システムファイル
攻撃者は、WordPressのシステムフォルダにも“本物そっくりの偽ファイル”を置きます。
ファイル名の例として有名なのは wp-login-old.php / wp-config-new.php / class-wp-xml.php など、純正ファイルに似せて作られたものです。
- 本物の管理画面と同じ動作を見せかけてパスワードを盗む
- 管理者が気づかず削除しないように偽装する
本物のWordPressには存在しないファイル名かどうかを公式リストと照合することで見破れます。
wp-admin や wp-includes に見覚えのないPHPがあれば、ほぼ確実に感染です。
WordPressマルウェア感染の駆除方法(初心者向けの完全手順)
マルウェア感染は焦る状況ですが、正しい順番で進めれば確実に復旧できます。
STEP1:まずはバックアップ(証拠保全)する
感染した状態でも構わないので、
- WordPressファイル一式(FTP)
- データベース(SQL)
の2点を必ずバックアップします。
最初にバックアップを取らずに作業を進めると、復旧不能になるケースが多いので注意。
STEP2:不正ファイルを「見つける」→ 必要部分のみ削除する
感染時にもっとも重要なのが、正常ファイルと不正ファイルを混同しないことです。
- /wp-content/uploads/ に紛れた不正PHP
- テーマ内の改ざん(functions.php / header.php / footer.php)
- wp-admin・wp-includes に紛れ込む偽システムファイル
- ルート直下の wp-config.php に挿入された不審コード
STEP3:WordPressコア(本体)を上書き再インストール
改ざんされやすいwp-admin / wp-includes / WordPressコアファイルは、最新の純正ファイルで上書きするのが最も確実です。
- WordPress管理画面 → 「ダッシュボード」→「更新」→ 再インストール
- または公式からダウンロードしFTPで上書き。
これにより、不正コードが混入した本体ファイルは全てクリーンな状態に戻ります。
STEP4:テーマ・プラグインを“クリーンなもの”に入れ替える
感染ケースの多くはテーマ・プラグイン経由です。
- 各テーマ・プラグインを公式配布元から再ダウンロード
- サーバー上の該当フォルダを削除 → クリーンなものをアップロード
- 不要なテーマ/使っていないプラグインは全部削除(停止ではなく削除が鉄則)
子テーマの改ざんもかなり多いため、functions.php など必ずチェック。
STEP5:データベース(SQL)に仕込まれた不正コードを確認
ファイルだけでなく、データベースにも不正コードが埋め込まれることがあります。
- wp_options の siteurl / home
- wp_posts の内部に入り込む JavaScript
- 不審な admin ユーザーの追加
- wp_users や wp_usermeta の書き換え
特に、投稿本文に「見えない JavaScript」が埋め込まれているケースは非常に多いです。
STEP6:ユーザー・パスワード・鍵(APIキー)を全て変更
マルウェアはログイン情報を盗むケースも多いため、以下の再発防止は必須です。
- WordPress管理パスワード
- FTPパスワード
- データベース(MySQL)パスワード
- サーバーパネルのパスワード
- APIキー(テーマ・プラグインで利用しているもの)
一つでも古いままだと再侵入されます。
STEP7:最後にスキャンして完全にクリーンを確認
復旧後は、以下のようなセキュリティプラグインで最終チェックを行います。
- Wordfence(高精度のマルウェア検知)
- Sucuri(外部診断も可)
- MalCare(自動駆除が強い)
ここで新たな改ざんが検出されなければ、駆除完了です。
マルウェア感染後に必ず行う再発防止対策
マルウェアを駆除しても、対策が不十分だと再び侵入されるケースは非常に多いです。
ここでは、専門業者も必ず実施する再発防止に直結するポイントを解説します。
ログイン画面保護(2FA / URL変更)
WordPressのログイン画面は、攻撃者にとって最も狙いやすい入口です。
二段階認証(2FA)を導入すれば、IDとパスワードが漏れても突破されません。
また、wp-login.php のURL変更もシンプルで効果的です。
ブルートフォース攻撃の大半はURLが初期設定のままのサイトを自動スキャンして攻撃します。
アクセス先を変えるだけで攻撃は激減します。
ファイル権限の適正化
ファイル権限が緩いと、攻撃者に簡単に書き換えられてしまいます。
- ファイル:644
- フォルダ:755
- wp-config.php:400〜440
wp-config.php を強化する
wp-config.php はWordPressの心臓部であり、攻撃者が最も狙う重要ファイルです。
- 認証用キー(SALTキー)を再生成
- ファイル編集機能を無効化(DISALLOW_FILE_EDIT)
- データベース接続情報の見直し
- パーミッションを 400〜440 に変更
更新管理と不要プラグイン削除
マルウェア感染の多くは、古いバージョンのプラグインやテーマが入口になります。
更新が滞ると脆弱性が残り続けるため、
- WordPress本体
- テーマ
- プラグイン
は常に最新に保つことが必須です。
また、停止中のプラグインも存在するだけで脆弱性になります。
使わないものは完全に削除しましょう。
バックアップの運用習慣をつける
どんなに対策をしても、100%絶対に安全という状態は存在しません。
だからこそ、バックアップを運用習慣にすることが最大の防御です。
- 自動バックアップを最低1日1回
- 保管先はサーバー外(クラウドなど)
- 「ファイル」と「データベース」の両方を保存する
- 復元テストを定期的に実施
バックアップさえあれば、万が一再感染しても短時間で復旧できます。
WordPressをマルウェア感染から守る完全ガイドまとめ
WordPressのマルウェア感染は、正しい知識があれば必ず防げます。
攻撃者が使う手口の多くは、uploadsに紛れ込む不正PHP、テーマ改ざん、偽システムファイル、難読化コードなど、どれも共通のパターンです。
つまり、WordPressの基本構造と正常なファイル名・コードの形を理解しておけば、異常はすぐに見抜けます。
さらに
- ログイン保護
- ファイル権限
- wp-config強化
- 更新管理
- バックアップ
の5つを徹底すれば、再発率はほぼゼロまで下げられます。
マルウェアは脅威ですが、仕組みを知れば決して怖くありません。
今日から適切な運用習慣を整え、安心してWordPressを守り続けていきましょう。
WordPressがマルウェア感染して自分で復旧できない場合は
ワードプレスのWordPressエラートラブル解決をしたいなら
クイックレスキューが解決します。
・WordPressが真っ白画面
・WordPressがログインできない
・ホームページのマルウェアや乗っ取り
・サイトの表示くずれ
・エラーが表示されている
これらでお悩みなら最短30分ですぐに解決します!
いまなら期間限定で
・万一改善されない場合は全額返金保証で安心!
・30日間動作保証で安心!
・調査料、キャンセル料 0円で安心!