WordPressマルウェア感染の対処法|実体験の復旧手順5つ
※本記事にはプロモーション(広告)が含まれます。
「自分のサイト名で検索したら、身に覚えのないページが大量に出てきた」
筆者は2026年6月、この状況を実際に経験しました。
- サイトがマルウェアに感染したかもしれない
- 何から手をつければいいのか分からない
この記事では、こうした不安に対して、
自サイトの感染から復旧までを実際にやり切った筆者が、対処手順を5つに整理して解説します。
具体的には
- 感染が疑われる症状のチェックリスト
- 駆除・復旧の手順と「上書き復元」の落とし穴
- 感染に早く気づくための仕組み
の順でご紹介します。
WordPressのマルウェア感染とは?よくある症状
WordPressのマルウェア感染とは、サイトに不正なプログラムを仕込まれ、攻撃者に悪用されている状態です。
見た目は普段どおりでも、裏側でスパムページの生成や不正な転送が進んでいることがあります。
まずは、感染が疑われる症状に当てはまるかを確認しましょう。
感染が疑われる症状チェック
次の項目に1つでも当てはまるなら、感染を前提に調査を始めることをおすすめします。
- ・検索結果に、身に覚えのないページが大量に表示される
- ・Google Search Consoleから「セキュリティの問題」の警告が届いた
- ・管理画面のユーザー一覧に、見覚えのないアカウントがある
- ・サーバー内に、作った覚えのないファイルやフォルダがある
- ・サイトを開くと勝手に別のサイトへ飛ばされる
筆者のサイトで実際に起きたこと
筆者は2026年6月、運用していたサイトのマルウェア感染を経験しました。
この体験をもとに、感染したときの対処手順を次の章で解説します。
感染したときの対処手順5ステップ
対処の基本は「被害を止める → 原因を調べる → きれいな状態に作り直す」の順番です。
筆者が実際に踏んだ手順を、5つのステップに整理しました。
- パスワードをすべて変更して被害を止める
- アクセスログで感染経路と範囲を調べる
- 「上書き復元」で済ませようとしない
- クリーンな状態からサイトを作り直す
- 再発防止の設定をして公開する
①パスワードをすべて変更して被害を止める
最初にやることは、攻撃者が使っている入り口を閉じることです。
以下のパスワードをすべて変更します。
- WordPress管理画面(特に管理者ユーザー)
- レンタルサーバーの管理パネルとFTPアカウント
- データベース
筆者のケースでは、使っていないFTPアカウントの削除も同時に行いました。
入り口が残ったまま駆除しても、また侵入されるためです。
②アクセスログで感染経路と範囲を調べる
やみくもにファイルを消す前に、いつ・どこから侵入されたかを調べます。
多くのレンタルサーバーでは、管理パネルからアクセスログを確認できます。
筆者の場合、ログから侵入された日時と経路を特定できました。
「感染前のクリーンな日付」が分かると、復旧に使えるバックアップを選べるようになります。
ログの見方が分からない場合は、サーバー会社のサポートに相談するのも1つの手です。
③「上書き復元」で済ませようとしない
バックアップの上書き復元だけでは、マルウェアを駆除しきれないことがあります。
復元で書き戻されるのは、WordPress本体やテーマなど一部の領域だけです。
攻撃者がWordPressの外側に仕込んだ「バックドア(再侵入用の入り口)」は、上書きされずに残ります。
筆者も当初は、バックアップからの復元で済ませる方法を検討していました。
しかし調査の結果、WordPressの外にも不正ファイルが見つかり、作り直しへ方針を変えました。
ここで手を抜くと、駆除したつもりで再感染を繰り返すことになります。
④クリーンな状態からサイトを作り直す
筆者が実際に行った手順は次のとおりです。
- サーバー上の公開フォルダを空にする
- WordPressを公式の配布物から新規インストールする
- 感染していないバックアップから記事・画像を移行する
- 移行後、不正なファイルや不審なユーザーが残っていないか確認する
サイトの規模や構成によって、作業の難易度は大きく変わります。
判断に迷う場合は、無理をせずサーバー会社や専門家に相談してください。
⑤再発防止の設定をして公開する
作り直したサイトには、公開前に最低限のセキュリティ設定を入れます。
- ログインURLの変更と、ログイン試行回数の制限
- 「admin」という管理者ユーザー名の廃止
- 使っていないプラグイン・テーマの削除
- サーバー外への定期バックアップ
それぞれの具体的な設定手順は、別の記事で解説しています。
感染に早く気づく仕組みを作る
復旧を経験して痛感したのは、感染そのものより「気づくのが遅れること」の怖さです。
筆者が異変に気づいたのは、スパムページが検索結果に大量に載ったあとでした。
発見が遅れるほど被害は広がり、検索結果の汚染も進みます。
自分でできる定期チェック
お金をかけずに、次の3つを月1回の習慣にするだけでも発見は早くなります。
- 「site:自分のドメイン」で検索し、身に覚えのないページがないか見る
- Google Search Consoleの「セキュリティの問題」を確認する
- 管理画面のユーザー一覧に、不審なアカウントがないか見る
自動で診断するサービスを使う選択肢
手動チェックは手軽な一方、見落としや「忘れる」リスクがあります。
外部から定期的に診断するサービスを使い、チェックを自動化する方法もあります。
たとえばGMOグループの「SiteLock」は、サイトの脆弱性診断とマルウェア検知を定期実行するサービスです。
月350円〜!Webサイトの脆弱性を診断する「SiteLock」![]()
診断を自動化しておくと、筆者のように「検索結果で初めて気づく」事態を避けやすくなります。
ただし、こうした診断サービスは早期発見のための仕組みです。
感染してしまったあとの完全な駆除には、この記事で書いた作り直しが必要になるケースもあります。
導入するかどうかは、サイトの重要度と予算に合わせて判断してください。
よくある質問
Q. セキュリティプラグインを入れていれば感染しませんか?
A. いいえ、リスクは減らせますが、感染を完全には防げません。
プラグイン自体に脆弱性が見つかることもあります。
「防ぐ設定」と「早く気づく仕組み」の両方を用意しておくのが現実的です。
Q. 感染したまま放置するとどうなりますか?
A. 検索結果がスパムページで汚染され、サイトの信用が下がります。
訪問者が不正なサイトへ誘導される二次被害や、ドメイン自体がブラックリストに載るリスクもあります。
被害が広がるほど復旧の手間も増えるため、早めの対処をおすすめします。
Q. 駆除を業者に頼むと費用はどれくらいかかりますか?
A. 被害の範囲やサイトの規模によって大きく変わります。
「駆除だけ」か「作り直しまで」かで金額の桁が変わることもあるため、複数の業者から見積もりを取って比較してください。
Q. 無料でマルウェアをチェックする方法はありますか?
A. あります。「site:自分のドメイン」での検索は、いますぐ無料で試せます。
Google Search Consoleの「セキュリティの問題」の確認も無料です。
Googleの「セーフブラウジング サイトステータス」でドメインを調べる方法もあります。
より本格的な定期診断が必要な場合に、有料サービスを検討すれば十分です。
まとめ:感染したら「止める→調べる→作り直す」
この記事では、WordPressがマルウェアに感染したときの対処を5ステップで解説しました。
- ①パスワード全変更:攻撃者の入り口を最初に閉じる
- ②ログ調査:侵入経路と「クリーンな日付」を特定する
- ③上書き復元に頼らない:WordPressの外のバックドアは復元では消えない
- ④クリーンな作り直し:公式配布物+安全なバックアップで再構築する
- ⑤再発防止:ログイン保護・不要物の削除・バックアップを設定して公開する
復旧よりも大変なのは、感染に気づけないまま被害が広がることです。
月1回の手動チェックか自動診断で、「早く気づける仕組み」まで用意しておきましょう。
自分での対応が難しいと感じたら、被害が広がる前にご相談ください。
WordPressの復旧・保守のご相談はこちら
筆者はフリーランスのWebディレクターとして、WordPressサイトの制作・保守をサポートしています。
自身のサイトの感染対応をやり切った経験から、復旧や再発防止のご相談にも対応できます。
「感染したかもしれない」という段階でも、お気軽にお問い合わせください。