WordPressマルウェア感染の放置リスクと安全復旧の進め方

WordPressのマルウェア感染を放置すると、表示の不具合だけでは済みません。検索順位の低下、Google警告、迷惑メール送信、再感染、顧客信用の低下まで広がることがあります。

よこやま良平

WordPressのマルウェア復旧と再発防止を対応している、よこやま良平です。感染サイトでは、見えている症状よりも「残っている入口」を見つけることを重視しています。

マルウェアは、トップページを書き換える派手なものだけではありません。検索エンジンにだけスパムページを見せる、uploadsにPHPを潜ませる、wp-config.phpから外部コードを読み込むなど、見た目ではわかりにくい感染もあります。

この記事では、放置リスクと安全復旧を中心に解説します。単にファイルを消すのではなく、SEO被害、再感染、Google警告まで含めて回復させる考え方を整理します。

【無料プレゼント】
WordPress緊急チェック50

「自分のサイトは今、安全なのか？」
自信を持って答えられますか？

こんなお悩みはありませんか？

• ある朝、サイトを開いたら真っ白画面になっていた
• 管理画面にログインできなくなって手が止まった
• 身に覚えのない記事やページが勝手に増えていた
• プラグインを更新したらサイト全体が崩れてしまった
• 以前バックアップを取ったか自分でも覚えていない

累計1,000件以上のWordPressトラブル対応の経験から、「壊れる前に備える」ためのチェックリストを1冊にまとめました。
ログイン・本体・バックアップ・サーバー・運用の5分野を、50項目で「危険度・確認方法・対処法」まで解説しています。

セキュリティプラグイン・WordPressの教科書も含めた3大特典を、
今なら無料で受け取れます。

今すぐ無料ダウンロードする →

※登録後すぐにメールで特典をお届けします

WordPressマルウェア感染の放置はSEO被害につながる

結論として、マルウェア感染を放置すると検索評価に悪影響が出ます。検索結果に不審なタイトルが出たり、海外向けスパムページがインデックスされたりすると、復旧後も回復に時間がかかります。

検索結果が改ざんされる仕組み

攻撃者は、通常の訪問者には普通のページを見せ、Googlebotにはスパム内容を見せることがあります。この場合、管理者がブラウザで見ても異常に気づきにくく、検索結果だけが汚染されます。

スパムページは削除後もインデックスが残る

感染ファイルを消しても、GoogleのインデックスにスパムURLが残ることがあります。404や410、サイトマップ更新、Search Consoleでの再審査など、検索側の回復作業も必要です。

日本製セキュリティ対策で不正アクセスを遮断「クイックレスキュー365」無料ダウンロード

WordPressマルウェア感染はGoogle警告と信用低下を招く

マルウェアが検出されると、ブラウザや検索結果に警告が表示されることがあります。警告はユーザーの離脱を招き、問い合わせや購入にも直接影響します。

Googleセーフブラウジングの警告

「危険なサイト」「この先のサイトには有害なプログラムがあります」と表示されると、ユーザーはほぼ離脱します。警告解除には、感染除去だけでなく再審査の申請が必要になる場合があります。

問い合わせフォームやメール送信への影響

感染サイトは迷惑メール送信の踏み台にされることがあります。サーバー会社からメール停止やアカウント制限を受けると、通常の問い合わせメールまで届かなくなる可能性があります。

POST /wp-content/uploads/2026/05/mail.php HTTP/1.1
PHP Warning: mail(): Failed to connect to mailserver
大量のPOSTや不審なmail.phpがないか確認

WordPressマルウェア感染を放置すると再感染しやすい

マルウェア対応でよくある失敗は、見つかったファイルだけを削除して終わることです。攻撃者が再侵入できるバックドアや漏えいした認証情報が残っていれば、何度でも感染します。

uploads内PHPとバックドアを確認する

wp-content/uploads は画像やPDFを置く場所ですが、攻撃者はここにPHPを置くことがあります。テーマやプラグインを更新しても、uploads内のバックドアは残ることがあるため注意が必要です。

find wp-content/uploads -type f -name "*.php"
find . -type f -mtime -14 | sort

wp-config.phpと.htaccessの改ざんを見る

wp-config.php に不審な require や eval がある、.htaccess に見覚えのないリダイレクトがある場合は、再感染の入口やスパム転送の可能性があります。

RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} googlebot [NC]
RewriteRule ^(.*)$ https://example-spam.invalid/$1 [R=302,L]

上記のような検索エンジン向け転送があると、通常閲覧では気づきにくいSEOスパムになります。内容を理解せずに一部だけ消すと、別の場所から復活することもあります。

WordPressマルウェア感染の安全復旧手順

安全復旧では、バックアップ、調査、除去、更新、認証情報変更、監視の順で進めます。焦って上書きするより、原因を押さえてから復旧した方が再感染を防げます。

1. 現状のファイルとデータベースを保存する
2. 感染範囲を調査する
3. 不審なPHP、改ざんコード、不要ユーザーを除去する
4. WordPress本体・テーマ・プラグインを正規ファイルで更新する
5. サーバー/FTP/DB/WordPressのパスワードを変更する
6. uploads内PHP実行禁止などの防御を設定する
7. Search Consoleで警告やインデックスを確認する

コード除去だけでなく正規ファイルへ戻す

難読化コードを手で消すだけでは、見落としが残ることがあります。WordPress本体や公式プラグインは、正規配布元のファイルに差し替える方が安全です。ただし、テーマのカスタマイズや独自プラグインはバックアップを取り、差分を見ながら対応します。

wp core verify-checksums
wp plugin verify-checksums --all

WP-CLIが使える環境ではチェックサム確認が役立ちます。使えない場合は、サーバー上のファイル更新日時や不審な文字列を確認し、必要に応じて専門家に調査を依頼してください。

WordPressマルウェア感染後のGoogle警告解除とSEO回復

感染を除去したら、検索側の回復作業に進みます。Google警告が出ている場合はSearch Consoleで状況を確認し、修正後に再審査を申請します。

Search Consoleで問題を確認する

セキュリティの問題、手動による対策、インデックス登録状況を確認します。スパムURLが大量に残っている場合は、削除や404/410の整理、サイトマップ送信を行います。

広告やSNS流入も一時確認する

Google警告が残ったまま広告を回すと、費用だけ消化して成果が落ちます。SNSで共有されたURLがスパム化している場合もあるため、主要な流入経路を確認してください。

WordPressマルウェア感染のよくある質問

WordPressマルウェア感染の放置リスクと安全復旧まとめ

WordPressのマルウェア感染を放置すると、SEO被害、Google警告、迷惑メール送信、再感染、信用低下につながります。見た目が戻っただけでは安全とは言えません。

マルウェア復旧は、早さと同じくらい「再感染させないこと」が重要です。被害が広がる前に、証拠を残しながら安全な復旧手順で進めてください。

WordPressのマルウェア感染が自分で直せない時は

WordPress保守・不正アクセス対策・マルウェア駆除・WordPressクイックレスキュー365

ワードプレスのWordPressエラートラブル解決をしたいなら
クイックレスキューが解決します。

これらでお悩みなら最短30分ですぐに解決します！

いまなら期間限定で