よこやま良平
「サイトの表示がおかしい」「管理画面にログインできない」「Googleから警告が届いた」——こうした症状の裏にあるのが、WordPressのマルウェア感染です。
しかし感染に気づいても、
「本当にマルウェアなのか」
「どう対処すればいいか」
がわからず、対処を先送りにしてしまうケースが多くあります。
放置するほど被害は拡大し、SEO評価の回復にも時間がかかります。
この記事では、WordPressのマルウェア感染で実際に起きる症状・原因・自分でできる駆除方法と、よくある落とし穴まで一気に解説します。
まず症状チェックリストで、あなたのサイトの状態を確認してみてください。
使い方から収益化までプロが教える
WordPressの教科書
「もう限界かもしれない…」
そんな思いで立ち止まっていませんか?
「収益が一向に増えず、事業を続ける意味に迷い始めている」
「クラウドソーシングや営業して稼げるか不安だ」
「収益化したいけれど、YouTubeや書籍では解決できなかった」
「WordPressでLP制作を頼まれるが、具体的な方法がわからない」
「広告を出稿したが、まったく成果が出なくて悩んでいる」
「仕事でグラフや資料制作を思うように作れない」
「独学の限界を感じ、でも何から学ぶべきかわからない」
これらの悩みを抱えているのは、
あなただけではありません。
多くのフリーランスや経営者が、
同じ壁にぶつかっています。
その壁を越えるための「本物の解決策」が、ここにあります。
私たちはこれまで、
数多くのフリーランスや経営者が収益化に成功するための
お手伝いをしてきました。
WordPressでホームページやブログを作るスキルだけでなく、
広告を最大限活用して集客し、
売上を上げるノウハウを惜しみなくお伝えします。
「成果が出る広告の作り方」
「売れるホームページを構築する秘訣」
「初心者でも成果を上げるための実践的なステップ」
これらを余すことなく提供するWordPressの教科書を、
今なら無料で受け取れます!
いまなら、先着300部限定で無料プレゼント付です。
目次
WordPressマルウェア感染の症状チェックリスト
以下の症状が1つでも当てはまる場合は、マルウェア感染を疑う必要があります。複数当てはまるほど感染の可能性が高まります。
- サイトを開くと別のサイトに自動的に飛ばされる
- Googleの検索結果に「このサイトは危険です」と表示される
- 管理画面(wp-admin)にログインできなくなった
- 身に覚えのない管理者アカウントが増えている
- サイトのページに見覚えのない広告・リンク・文章が追加されている
- サーバーからスパムメールが大量送信されている
- ホスティング会社からアカウント停止・警告メールが届いた
- サイトの表示速度が突然極端に遅くなった
- Googleサーチコンソールに「セキュリティの問題」の警告が出ている
- アクセス解析で見覚えのない国・時間帯から大量アクセスがある
症状が出ていなくても安心できない理由
マルウェアの中には、感染していても表面上は何も変化しないタイプがあります。バックドア(不正な裏口)を仕掛けて潜伏し、攻撃者が好きなタイミングで悪用するケースです。
「症状が出ていないから大丈夫」は危険な思い込みです。定期的なセキュリティスキャンを習慣にすることが、感染の早期発見につながります。
WordPressマルウェア感染の主な原因5つ
感染を防ぐには、どこから侵入されるのかを知ることが重要です。実際の復旧現場で多く見てきた感染原因を5つ紹介します。
原因①:プラグイン・テーマの脆弱性(最多)
WordPressへの攻撃の大半は、古いプラグインやテーマの脆弱性を突いたものです。セキュリティの欠陥が発見されたプラグインは、更新プログラムで修正されますが、更新しないまま放置したサイトは格好の標的になります。
- 1年以上アップデートされていない放置プラグイン
- 公式ディレクトリから削除されたプラグイン(脆弱性が深刻すぎて掲載停止になったケースがある)
- 使っていないのに有効化したままのプラグイン
原因②:nulled(無効化)テーマ・プラグインの使用
有料テーマやプラグインを無料で配布している「nulledサイト」からダウンロードしたファイルには、最初からマルウェアが仕込まれているケースがほぼ確実です。
「お得だから」と使ったファイルが感染源になるという、非常に多い被害パターンです。テーマ・プラグインは必ず公式リポジトリまたは正規の販売店から入手してください。
原因③:ブルートフォース攻撃によるパスワード突破
ボットが自動で何千回もログインを試みる「ブルートフォース攻撃」により、推測されやすいパスワードを使っているアカウントが突破されるケースです。
特に「admin」というユーザー名はデフォルトでよく使われるため、真っ先に狙われます。パスワードは12文字以上のランダムな文字列を使い、ログインURLの変更と試行回数制限を必ず設定してください。
原因④:ホスティング環境の脆弱性
共有サーバーを使っている場合、同じサーバー上の別のサイトが感染することで、自分のサイトにも被害が及ぶ「クロスサイト汚染」が発生することがあります。
また、FTPアカウントのパスワードが流出してファイルを直接書き換えられるケースも後を絶ちません。FTPはSFTPに切り替え、パスワードは定期的に変更することを推奨します。
原因⑤:管理者PCのウイルス感染
WordPressを管理しているパソコン自体がウイルスに感染していると、FTPのパスワードやWordPressの認証情報が盗まれてサイトへの不正アクセスに悪用されます。
「WordPressのセキュリティは万全なのになぜ感染したのか」という場合、管理者PCが原因だったケースが少なくありません。管理に使うPCのセキュリティ対策も忘れずに行いましょう。
WordPressマルウェア感染 種類別の症状と特徴
マルウェアにはいくつかの種類があり、それぞれ症状が異なります。症状から感染の種類を推測することで、駆除の方向性が見えてきます。
リダイレクトハック:別サイトへ強制転送される
サイトにアクセスすると自動的に別のサイト(アダルトサイト・詐欺サイトなど)に転送される症状です。.htaccess やWordPressのコアファイルに不正なリダイレクトコードが仕込まれます。
特徴的なのは、「管理者がアクセスすると正常に表示されるが、一般ユーザーや検索エンジンからのアクセスにはリダイレクトが発動する」という巧妙な設定がされているケースです。
SEOスパム:検索結果に不正なページが表示される
Googleの検索結果に、自分のサイト内に作った覚えのないページ(薬・賭博・アダルト関連など)が表示される症状です。攻撃者があなたのサイトのSEO評価を悪用してスパムページを量産するタイプです。
サイト自体は正常に見えるため発見が遅れやすく、気づいたときには大量のスパムページがGoogleにインデックスされているケースがあります。
バックドア:侵入口を密かに仕掛けられる
表面上は何も変化がないまま、サーバー内に「裏口」となるファイルを設置されるタイプです。攻撃者はこのバックドアを使っていつでもサーバーに侵入できる状態になります。
駆除が最も困難なタイプで、一度バックドアが設置されると表面上のマルウェアを除去しても再感染を繰り返します。よくあるバックドアファイルの名称として alf.php・moon.php・shell.php などがあります。
WordPressマルウェア 自分でできる駆除方法
感染が軽度で管理画面にアクセスできる場合は、以下の手順で自力駆除を試みることができます。
Wordfenceでマルウェアをスキャン・駆除する
マルウェアのスキャンには「Wordfence Security」プラグインが有効です。無料で使えるスキャン機能で感染ファイルを検出し、コアファイルであれば自動修復も可能です。管理画面 →「プラグイン」→「新規追加」から「Wordfence」で検索してインストールしてください。
クイックレスキュー365で不正アクセスをブロックする
よこやまさんが開発した独自のセキュリティプラグイン「クイックレスキュー365」は、ログインURL変更・ブルートフォース対策・海外IPブロックなど不正アクセス防止機能をまとめて設定できます。マルウェア駆除後の再発防止として必ず導入しておきましょう。
WordPressとプラグインをすべて最新版に更新する
脆弱性を突いた攻撃の場合、WordPress本体・プラグイン・テーマを最新バージョンに更新するだけで侵入経路が塞がれることがあります。管理画面「ダッシュボード」→「更新」から一括更新できます。
不審なユーザーアカウントを削除する
管理画面「ユーザー」一覧を開き、身に覚えのないアカウント(特に管理者権限)がないか確認します。不審なアカウントは即座に削除してください。
WordPressマルウェア駆除で注意すべき落とし穴4つ
自力でマルウェア駆除を試みる際に、多くの人がはまる落とし穴があります。事前に知っておくことで、二次被害を防げます。
落とし穴①:バックアップなしで作業して復旧不能になる
感染ファイルの削除作業中に必要なファイルまで誤って削除してしまい、サイト自体が表示できなくなるケースが多発しています。作業前には必ず現状のバックアップを取得することを徹底してください。感染状態であっても、バックアップは後から比較・復元に使えます。
落とし穴②:表面だけ駆除して再感染を繰り返す
見つかったマルウェアファイルを削除しても、バックドアが残っていれば数日以内に再感染します。「駆除した」のに何度も感染を繰り返す場合は、根本的な侵入経路が塞がれていないサインです。
バックドアはアップロードフォルダや古いプラグインのフォルダに巧妙に隠されていることが多く、スキャンツールでも検出できないケースがあります。
落とし穴③:パスワード変更を忘れて再侵入される
ファイルのクリーンアップが完了しても、盗まれた認証情報(パスワード・FTPアカウント)を変更しなければ、同じ経路から再度侵入されます。駆除後は必ず全パスワードを変更してください。
落とし穴④:データベースの感染を見落とす
マルウェアはファイルだけでなく、WordPressのデータベース(投稿・オプション・ユーザーテーブル)にも不正なコードを埋め込むことがあります。ファイルを完全にクリーンにしてもデータベースにマルウェアが残っていれば症状は継続します。
- wp_optionsテーブルの「siteurl」「home」が書き換えられていないか
- wp_usersテーブルに不審な管理者アカウントが追加されていないか
- wp_postsテーブルに見覚えのない投稿・スパムリンクが埋め込まれていないか
Googleサーチコンソールの「セキュリティの問題」、Googleセーフブラウジング診断ツール、セキュリティプラグイン(クイックレスキュー365・Wordfenceなど)のスキャン機能で確認できます。いずれも無料で利用できます。
あります。バックドア型のマルウェアは潜伏して症状を出さないケースが多く、気づかないまま数ヶ月間感染し続けているケースも珍しくありません。定期的なスキャンで早期発見することが重要です。
コンテンツや設定を一から作り直すのは現実的ではない場合が多いです。正しい駆除手順を踏めば、既存のコンテンツを保持したまま復旧できます。ただし感染が深刻な場合はクリーンインストールが必要なこともあります。
WordPressはCMSシェアの60%以上を占めるため攻撃対象として非常に多く狙われています。適切なセキュリティ対策なしに運用しているサイトは、常に感染リスクにさらされています。「自分のサイトは小さいから大丈夫」という認識は危険です。
WordPressマルウェア感染の症状・原因・駆除方法まとめ
WordPressマルウェア感染の症状・原因・自分でできる駆除方法と落とし穴について解説しました。最後にポイントをまとめます。
- 症状チェックリストで1つでも当てはまれば感染の疑いあり
- 感染原因の多くはプラグインの脆弱性・nulledテーマ・弱いパスワード
- 自力駆除はバックアップを取ってから・パスワード変更まで必ず実施
- 再感染を繰り返す場合はバックドアが残っている可能性が高い
- 症状がなくても感染している場合がある。定期スキャンが重要
自力での駆除に限界を感じたら、早めにプロへ相談することをおすすめします。感染期間が長くなるほど、SEO評価の回復にも時間がかかります。
WordPressのマルウェア感染が自分で直せない時は
ワードプレスのWordPressエラートラブル解決をしたいなら
クイックレスキューが解決します。
・WordPressが真っ白画面
・WordPressがログインできない
・ホームページのマルウェアや乗っ取り
・サイトの表示くずれ
・エラーが表示されている
これらでお悩みなら最短30分ですぐに解決します!
いまなら期間限定で
・万一改善されない場合は全額返金保証で安心!
・30日間動作保証で安心!
・初期費・調査料 0円で安心!