WordPressのマルウェア感染で、wp-blog-header.php、wp-cron.php、wp-conffg.php のようなPHPファイルが大量に複製されていた場合、単なるファイルの置き忘れではなく、かなり危険度の高い感染サインです。
wp-blog-header.php と wp-cron.php はWordPress本体に存在する正規ファイル名です。しかし、同じ名前のファイルが複数のフォルダに大量にある場合は、正規ファイル名に見せかけた偽装ファイルの可能性があります。
WordPressの制作・保守・復旧、マルウェア駆除の現場に長年携わっている、よこやま良平です。この記事では、実際の復旧対応で見かける「正規ファイル名に似せた大量複製」の見分け方と、初心者が安全にできる駆除範囲を解説します。
wp-blog-header.php、wp-cron.php、wp-conffg.phpの危険な見分け方が分かる- 初心者が削除してよい可能性が高いファイルと、触ると危ないファイルを切り分けられる
- SFTPやサーバーのファイルマネージャーで確認する順番が分かる
- 駆除後に再感染を防ぐための最低限の対策が分かる
結論から言うと、今回のようなケースでは「同じ名前のファイルを全部消す」では危険です。WordPress本体に必要な正規ファイルまで削除すると、サイトが真っ白になったり、管理画面に入れなくなったりします。
初心者ができる範囲では、まず感染前提でバックアップを取り、正規の置き場所から外れた大量複製ファイルを確認し、公式のWordPress本体ファイルで差し替えるところまでが現実的です。怪しいコードを1行ずつ解析する作業は、無理をせずプロに任せる判断も大切です。
目次
WordPress感染ファイル大量複製は危険サイン
WordPressで正規ファイル名に似たPHPファイルが大量に見つかった場合、最初に疑うべきは「攻撃者が目立たない名前でバックドアを置いている状態」です。
特に wp-blog-header.php や wp-cron.php は、WordPressに詳しくない人ほど「最初からあったファイルかな」と思いやすい名前です。攻撃者はその心理を利用して、削除されにくい名前を選びます。
正規ファイルは基本的にルート直下に1つだけ
wp-blog-header.php と wp-cron.php は、通常はWordPressを設置したルート直下にあります。たとえば public_html や対象ドメインのフォルダ直下です。
同じ名前のファイルが wp-content/uploads、wp-content/cache、深い数字フォルダ、意味不明なフォルダに大量にある場合は、正規ファイルではなく感染ファイルの可能性が高いです。
public_html/
wp-blog-header.php ← 正規の可能性がある
wp-cron.php ← 正規の可能性がある
wp-config.php ← 絶対に慎重に扱う
wp-conffg.php ← 正規名ではないため疑う
wp-content/
uploads/
2026/
wp-blog-header.php ← かなり怪しい
wp-cron.php ← かなり怪しい
wp-conffg.php ← かなり怪しいwp-conffg.phpは正規ファイル名ではない
今回のポイントは wp-conffg.php です。WordPressの重要設定ファイルは wp-config.php であり、wp-conffg.php ではありません。
スペルが似ているため見落としやすいですが、wp-conffg.php は正規のWordPress本体ファイルではない可能性が高い名前です。攻撃者が wp-config.php に似せて置いた偽装ファイルとして扱ってください。
wp-config.php はデータベース接続情報が入った重要ファイルです。削除するとサイトが動かなくなります。一方で wp-conffg.php は正規名ではないため、感染ファイルとして疑います。名前が似ていても扱いはまったく違います。
1つ消しても再発する場合は親玉が残っている
大量複製型の感染では、見えているファイルだけを削除しても再発することがあります。理由は、別の場所に「再生成する親玉」のPHPファイルや、改ざんされたテーマ・プラグインが残っているからです。
そのため駆除では、複製ファイルの削除だけでなく、WordPress本体の差し替え、.htaccess、index.php、テーマ、プラグイン、管理者ユーザーの確認まで行う必要があります。
WordPress感染ファイルを初心者が確認する準備
初心者が最初にやるべきことは、削除ではなく「現状を壊さず保存すること」です。感染していても、作業前のコピーがあるだけで復旧の選択肢が残ります。
マルウェア駆除は、削除ボタンを押す作業ではありません。どのファイルが正規で、どのファイルが偽装かを確認しながら進める作業です。
作業前にファイルとデータベースをバックアップする
まず、サーバーのバックアップ機能、またはSFTPでサイト全体をダウンロードしてください。可能であれば、データベースもエクスポートします。
このバックアップは「安全なバックアップ」ではありません。感染状態を保存した調査用コピーです。あとで比較したり、誤って消したファイルを戻したりするために使います。
- 感染ファイルを自分のパソコンで開かない
- PHPファイルをダブルクリックして実行しない
- バックアップZIPを他サイトへアップロードしない
- 感染前のバックアップが別にある場合は、上書きせず分けて保存する
SFTPまたはサーバーのファイルマネージャーで検索する
初心者の場合は、サーバー管理画面のファイルマネージャーか、FileZillaなどのSFTPソフトで確認するのが現実的です。検索機能があれば、以下の3つの名前で探します。
wp-blog-header.php
wp-cron.php
wp-conffg.phpSSHが使える人だけ、次のようなコマンドで検索しても構いません。意味が分からない場合は無理に使わず、サーバーのファイルマネージャーで進めてください。
find . \( -name "wp-blog-header.php" -o -name "wp-cron.php" -o -name "wp-conffg.php" \) -print
削除前にファイルの場所と更新日時を控える
削除前に、ファイルの場所、更新日時、サイズをメモしてください。大量にある場合は、画面キャプチャでも構いません。
同じ日時に一気に作られたPHPファイルが複数ある場合、感染の手がかりになります。復旧後に再発したときも、どのタイミングで増えたかを追いやすくなります。
- ファイル名
- 設置されていたフォルダ
- 更新日時
- ファイルサイズ
- 同じ日時に増えている別ファイルの有無
wp-blog-header.php・wp-cron.php・wp-conffg.phpの駆除手順
駆除の基本は、正規の場所にある必要ファイルを守りながら、正規の置き場所ではない複製ファイルを取り除くことです。
ただし、PHPコードの中身を読まずに「名前だけ」で100%判断するのは危険です。初心者向けには、正規の置き場所、ファイル名、更新日時、フォルダの種類を合わせて判断する方法が安全です。
ルート直下以外の大量複製ファイルを隔離する
wp-content/uploads やキャッシュフォルダの中にある wp-blog-header.php、wp-cron.php、wp-conffg.php は、基本的に正規ファイルではありません。
いきなり完全削除が怖い場合は、サーバー上で _quarantine のような隔離フォルダを作り、怪しいファイルを移動します。サイト表示に影響がなければ、その後に削除する流れが安全です。
- ルート直下の
wp-config.php - ルート直下の
.htaccessを内容確認なしで全削除 - 現在使っているテーマフォルダ全体
- 意味が分からないまま
wp-content全体 - データベースをバックアップなしで削除
正規のwp-blog-header.phpとwp-cron.phpは公式ファイルで差し替える
ルート直下の wp-blog-header.php や wp-cron.php が改ざんされている疑いがある場合は、手作業で怪しい行だけ消すより、同じバージョンのWordPress公式ファイルで差し替えるほうが安全です。
WordPress本体は、公式サイトから取得します。検索で出てきた知らない配布サイト、圧縮ファイル共有サービス、誰かが置いたZIPからは絶対にダウンロードしないでください。
- 可能なら現在のWordPressと同じバージョンの本体ファイルを使う
wp-contentはテーマ・プラグイン・画像が入るため丸ごと上書きしないwp-config.phpは公式ZIPに含まれないサイト固有の重要ファイルとして扱う- 差し替え後はサイト表示と管理画面ログインを確認する
wp-conffg.phpは偽装ファイルとして中身を確認する
wp-conffg.php は正規のWordPressファイル名ではありません。多くの場合、削除対象として疑うべきファイルです。
中身に eval、base64_decode、長い意味不明な文字列、外部URLへの通信、見慣れない関数がある場合は、マルウェアの可能性が高いです。ただし初心者がコードを安全に読むのは難しいため、ファイルを開く場合もサーバー上の編集画面で軽く確認する程度にしてください。
<?php
// よくある危険サインの例
eval(...)
base64_decode(...)
gzinflate(...)
str_rot13(...)
意味不明な長い英数字の羅列このようなコードがある場合、単独のファイルだけでなく、他にも感染が残っている前提で確認を広げます。
WordPressマルウェア駆除後に必ず見る場所
大量複製ファイルを削除してサイトが表示されたとしても、それだけで駆除完了とは言えません。再感染の原因が残っていると、数分から数日で同じファイルがまた増えます。
現場では、表に見えている感染ファイルよりも、再生成する仕組みの発見のほうが重要です。
.htaccessとindex.phpの改ざんを確認する
.htaccess と index.php は、サイト全体のアクセスに影響する重要ファイルです。リダイレクト感染、別サイトへの転送、検索結果だけ改ざんされる被害では、ここが書き換えられていることがあります。
見慣れない外部URL、長い暗号のような文字列、RewriteRule が大量に追加されている場合は注意してください。分からない場合は、削除ではなくバックアップを取って専門家に確認してもらうのが安全です。
uploadsフォルダのPHPファイルを確認する
wp-content/uploads は画像やPDFを置く場所です。通常、ここにPHPファイルが大量にあるのは不自然です。
画像フォルダに .php、.phtml、見慣れない .ico や .txt に見せかけた実行ファイルがある場合は、感染の可能性があります。
- 画像フォルダ内の
.phpファイル - 更新日時が同じ怪しいファイル群
- 意味不明な英数字だけのファイル名
- 画像ではないのに画像フォルダへ置かれているファイル
管理者ユーザーとパスワードを変更する
ファイルをきれいにしても、攻撃者が管理者アカウントを持っていれば再び侵入されます。WordPress管理画面、サーバー、FTP/SFTP、データベース、メールのパスワードをそれぞれ変更してください。
見覚えのない管理者ユーザーがある場合は、削除前に投稿の所有者を正しいユーザーへ移し、その後に削除します。ユーザー名が admin のままなら、別の管理者を作って切り替えることも検討してください。
プラグインとテーマを整理する
古いプラグイン、更新が止まっているテーマ、使っていない拡張機能は、侵入口になることがあります。無効化だけでなく、不要なものは削除してください。
有料テーマや有料プラグインを使っている場合も、正規ライセンスで最新版へ更新します。どこかから拾ったテーマ、配布元不明のプラグイン、改造済みZIPは使わないでください。
WordPress再感染を防ぐチェック
マルウェア駆除の最後は、再感染を防ぐ設定です。ここを省くと、駆除した直後は直っても、同じ症状が戻ってきます。
初心者が最初に見るべきポイントは、ログイン保護、不要機能の停止、uploadsフォルダでPHPを動かさない設定、定期的な更新です。
セキュリティプラグインで状態を確認する
駆除後の確認には、Wordfenceなどのスキャン機能を持つセキュリティプラグインが役立ちます。WordPress本体ファイル、テーマ、プラグインの改ざんチェックに使えます。
ただし、スキャンで何も出なかったから完全に安全とは限りません。攻撃者が検出されにくい場所にバックドアを残すこともあるため、ファイルの更新日時、管理者ユーザー、ログ、サーバー側の状態も合わせて見ます。
クイックレスキュー365で予防設定を固める
駆除後の予防策としては、クイックレスキュー365のように、ログインURL変更、XMLRPC遮断、ユーザー名漏えい防御、UploadsフォルダPHP動作禁止などをまとめて設定できる仕組みが有効です。
注意点として、クイックレスキュー365はマルウェアをスキャンして検出するためのプラグインではありません。感染確認はWordfenceなどのスキャン系、再感染予防はクイックレスキュー365というように役割を分けて使うのが現実的です。
再発したら自己判断で深追いしない
削除しても同じファイルが増える、管理画面に入れない、サイトが別ページへ飛ばされる、Google検索結果だけ変になる。このような場合は、初心者が触る範囲を超えている可能性が高いです。
特に、複数サイトが同じサーバーに入っている場合、1つのWordPressだけ直しても別サイトから再感染することがあります。サーバー全体の確認が必要です。
- 削除しても数時間以内に同じファイルが復活する
- WordPress管理画面に入れない
- Google検索結果や広告審査でマルウェア扱いされている
- 複数サイトが同時に感染している
- バックアップを戻してもすぐ再感染する
よくある質問
ルート直下の wp-blog-header.php はWordPress本体の正規ファイルです。名前だけで削除してはいけません。
ただし、wp-content/uploads など本来の場所ではないフォルダに同名ファイルが大量にある場合は、感染ファイルとして疑います。
wp-conffg.php は、正規の wp-config.php に似せた名前です。WordPress本体の標準ファイル名ではないため、かなり怪しいファイルとして扱います。
削除前にバックアップを取り、場所・更新日時・中身を確認したうえで隔離するのが安全です。
ルート直下の wp-cron.php は正規ファイルなので、削除ではなく公式のWordPress本体ファイルで差し替えるのが基本です。
同名ファイルが別フォルダに大量にある場合は、正規ファイルではない可能性が高いため、隔離・削除対象として確認します。
スキャン系プラグインは感染確認の助けになりますが、それだけで完全駆除を保証するものではありません。
バックドア、管理者ユーザー、パスワード、テーマ・プラグイン、サーバー内の別サイトまで確認して、はじめて再感染リスクを下げられます。
WordPress感染ファイル大量複製の駆除まとめ
WordPressで wp-blog-header.php、wp-cron.php、wp-conffg.php が大量複製されている場合、正規ファイル名に似せたマルウェア感染を疑うべきです。
初心者が安全にできる範囲は、バックアップ、ファイルの場所確認、明らかに正規外の複製ファイルの隔離、正規ファイルの公式版差し替え、パスワード変更、管理者確認、再感染予防までです。
wp-blog-header.phpとwp-cron.phpは正規ファイル名だが、大量複製は危険wp-conffg.phpは正規のWordPressファイル名ではない- 削除前に必ずファイルとデータベースをバックアップする
- ルート直下の正規ファイルは削除ではなく公式版で差し替える
- 再発する場合はバックドアや別サイト感染を疑う
マルウェア駆除は、見えているファイルを消すだけでは終わりません。原因を残したままだと、また同じ名前のファイルが増えます。少しでも判断に迷う場合は、無理に削除を続けず、復旧の専門家に相談してください。
WordPressのマルウェア感染が自分で直せない時は

ワードプレスのWordPressエラートラブル解決をしたいなら
クイックレスキューが解決します。
・WordPressが真っ白画面
・WordPressがログインできない
・ホームページのマルウェアや乗っ取り
・サイトの表示くずれ
・エラーが表示されている
これらでお悩みなら最短30分ですぐに解決します!
いまなら期間限定で
・万一改善されない場合は全額返金保証で安心!
・30日間動作保証で安心!
・初期費・調査料 0円で安心!








