本文へスキップ

WordPressマルウェア感染の対処法|実体験の復旧手順5つ

※本記事にはプロモーション(広告)が含まれます。

「自分のサイト名で検索したら、身に覚えのないページが大量に出てきた」

筆者は2026年6月、この状況を実際に経験しました。

  • サイトがマルウェアに感染したかもしれない
  • 何から手をつければいいのか分からない

この記事では、こうした不安に対して、
自サイトの感染から復旧までを実際にやり切った筆者が、対処手順を5つに整理して解説します。

具体的には

  • 感染が疑われる症状のチェックリスト
  • 駆除・復旧の手順と「上書き復元」の落とし穴
  • 感染に早く気づくための仕組み

の順でご紹介します。

WordPressのマルウェア感染とは?よくある症状

WordPressのマルウェア感染とは、サイトに不正なプログラムを仕込まれ、攻撃者に悪用されている状態です。

見た目は普段どおりでも、裏側でスパムページの生成や不正な転送が進んでいることがあります。
まずは、感染が疑われる症状に当てはまるかを確認しましょう。

感染が疑われる症状チェック

次の項目に1つでも当てはまるなら、感染を前提に調査を始めることをおすすめします。

  • ・検索結果に、身に覚えのないページが大量に表示される
  • ・Google Search Consoleから「セキュリティの問題」の警告が届いた
  • ・管理画面のユーザー一覧に、見覚えのないアカウントがある
  • ・サーバー内に、作った覚えのないファイルやフォルダがある
  • ・サイトを開くと勝手に別のサイトへ飛ばされる

筆者のサイトで実際に起きたこと

筆者は2026年6月、運用していたサイトのマルウェア感染を経験しました。

発覚のきっかけは検索結果だった 自分のサイト名で検索したところ、身に覚えのない日本語のスパムページが大量に表示されていました。調べてみると、1日に数十万件規模のスパムURLがGoogleに登録されている状態でした。

侵入経路はログイン画面への総当たりだった サーバーのアクセスログを調べると、海外のボットがログイン画面に大量のログイン試行を仕掛けていました。「admin」というユーザー名を突破され、プラグインの機能を悪用してマルウェアを展開されていました。

この体験をもとに、感染したときの対処手順を次の章で解説します。

感染したときの対処手順5ステップ

対処の基本は「被害を止める → 原因を調べる → きれいな状態に作り直す」の順番です。

筆者が実際に踏んだ手順を、5つのステップに整理しました。

  1. パスワードをすべて変更して被害を止める
  2. アクセスログで感染経路と範囲を調べる
  3. 「上書き復元」で済ませようとしない
  4. クリーンな状態からサイトを作り直す
  5. 再発防止の設定をして公開する

①パスワードをすべて変更して被害を止める

最初にやることは、攻撃者が使っている入り口を閉じることです。
以下のパスワードをすべて変更します。

  • WordPress管理画面(特に管理者ユーザー)
  • レンタルサーバーの管理パネルとFTPアカウント
  • データベース

筆者のケースでは、使っていないFTPアカウントの削除も同時に行いました。
入り口が残ったまま駆除しても、また侵入されるためです。

②アクセスログで感染経路と範囲を調べる

やみくもにファイルを消す前に、いつ・どこから侵入されたかを調べます。
多くのレンタルサーバーでは、管理パネルからアクセスログを確認できます。

筆者の場合、ログから侵入された日時と経路を特定できました。
「感染前のクリーンな日付」が分かると、復旧に使えるバックアップを選べるようになります。

ログの見方が分からない場合は、サーバー会社のサポートに相談するのも1つの手です。

③「上書き復元」で済ませようとしない

バックアップの上書き復元だけでは、マルウェアを駆除しきれないことがあります。

復元で書き戻されるのは、WordPress本体やテーマなど一部の領域だけです。
攻撃者がWordPressの外側に仕込んだ「バックドア(再侵入用の入り口)」は、上書きされずに残ります。

筆者も当初は、バックアップからの復元で済ませる方法を検討していました。
しかし調査の結果、WordPressの外にも不正ファイルが見つかり、作り直しへ方針を変えました。

ここで手を抜くと、駆除したつもりで再感染を繰り返すことになります。

④クリーンな状態からサイトを作り直す

筆者が実際に行った手順は次のとおりです。

  1. サーバー上の公開フォルダを空にする
  2. WordPressを公式の配布物から新規インストールする
  3. 感染していないバックアップから記事・画像を移行する
  4. 移行後、不正なファイルや不審なユーザーが残っていないか確認する

サイトの規模や構成によって、作業の難易度は大きく変わります。
判断に迷う場合は、無理をせずサーバー会社や専門家に相談してください。

⑤再発防止の設定をして公開する

作り直したサイトには、公開前に最低限のセキュリティ設定を入れます。

  • ログインURLの変更と、ログイン試行回数の制限
  • 「admin」という管理者ユーザー名の廃止
  • 使っていないプラグイン・テーマの削除
  • サーバー外への定期バックアップ

それぞれの具体的な設定手順は、別の記事で解説しています。

感染に早く気づく仕組みを作る

復旧を経験して痛感したのは、感染そのものより「気づくのが遅れること」の怖さです。

筆者が異変に気づいたのは、スパムページが検索結果に大量に載ったあとでした。
発見が遅れるほど被害は広がり、検索結果の汚染も進みます。

自分でできる定期チェック

お金をかけずに、次の3つを月1回の習慣にするだけでも発見は早くなります。

  • 「site:自分のドメイン」で検索し、身に覚えのないページがないか見る
  • Google Search Consoleの「セキュリティの問題」を確認する
  • 管理画面のユーザー一覧に、不審なアカウントがないか見る

自動で診断するサービスを使う選択肢

手動チェックは手軽な一方、見落としや「忘れる」リスクがあります。
外部から定期的に診断するサービスを使い、チェックを自動化する方法もあります。

たとえばGMOグループの「SiteLock」は、サイトの脆弱性診断とマルウェア検知を定期実行するサービスです。

月350円〜!Webサイトの脆弱性を診断する「SiteLock」

診断を自動化しておくと、筆者のように「検索結果で初めて気づく」事態を避けやすくなります。
ただし、こうした診断サービスは早期発見のための仕組みです。
感染してしまったあとの完全な駆除には、この記事で書いた作り直しが必要になるケースもあります。

導入するかどうかは、サイトの重要度と予算に合わせて判断してください。

よくある質問

Q. セキュリティプラグインを入れていれば感染しませんか?

A. いいえ、リスクは減らせますが、感染を完全には防げません。
プラグイン自体に脆弱性が見つかることもあります。
「防ぐ設定」と「早く気づく仕組み」の両方を用意しておくのが現実的です。

Q. 感染したまま放置するとどうなりますか?

A. 検索結果がスパムページで汚染され、サイトの信用が下がります。
訪問者が不正なサイトへ誘導される二次被害や、ドメイン自体がブラックリストに載るリスクもあります。
被害が広がるほど復旧の手間も増えるため、早めの対処をおすすめします。

Q. 駆除を業者に頼むと費用はどれくらいかかりますか?

A. 被害の範囲やサイトの規模によって大きく変わります。
「駆除だけ」か「作り直しまで」かで金額の桁が変わることもあるため、複数の業者から見積もりを取って比較してください。

Q. 無料でマルウェアをチェックする方法はありますか?

A. あります。「site:自分のドメイン」での検索は、いますぐ無料で試せます。
Google Search Consoleの「セキュリティの問題」の確認も無料です。
Googleの「セーフブラウジング サイトステータス」でドメインを調べる方法もあります。
より本格的な定期診断が必要な場合に、有料サービスを検討すれば十分です。

まとめ:感染したら「止める→調べる→作り直す」

この記事では、WordPressがマルウェアに感染したときの対処を5ステップで解説しました。

  • ①パスワード全変更:攻撃者の入り口を最初に閉じる
  • ②ログ調査:侵入経路と「クリーンな日付」を特定する
  • ③上書き復元に頼らない:WordPressの外のバックドアは復元では消えない
  • ④クリーンな作り直し:公式配布物+安全なバックアップで再構築する
  • ⑤再発防止:ログイン保護・不要物の削除・バックアップを設定して公開する

復旧よりも大変なのは、感染に気づけないまま被害が広がることです。
月1回の手動チェックか自動診断で、「早く気づける仕組み」まで用意しておきましょう。

自分での対応が難しいと感じたら、被害が広がる前にご相談ください。

WordPressの復旧・保守のご相談はこちら

筆者はフリーランスのWebディレクターとして、WordPressサイトの制作・保守をサポートしています。

自身のサイトの感染対応をやり切った経験から、復旧や再発防止のご相談にも対応できます。

「感染したかもしれない」という段階でも、お気軽にお問い合わせください。

小松 直

小松 直

LP・コーポレートサイト・ECサイトの制作ディレクションを行うフリーランスWebディレクター。Web制作歴5年、ディレクション歴2年。

プロフィールを見る →
← コラム一覧に戻る