WordPressがウイルス感染したら？正しい対処法を専門家が解説

漫画でわかる！今回のテーマ

動画で詳しく解説

「サイトが勝手に変なページに飛ばされる」「Googleから警告メールが届いた」——そんな経験をされた方もいらっしゃるのではないでしょうか。

この記事では、WordPressがウイルス（マルウェア）に感染した際の初動対応から復旧手順、そして再発防止策まで、専門家の視点から分かりやすく解説します。「自分で管理しているけれど技術には自信がない」という方でも、まず何をすべきか明確になるはずです。

WordPressのウイルス感染とは？よくある症状と被害

まずはウイルス感染がどのような状態なのかを理解しておきましょう。感染に早く気づくことが、被害を最小限に抑える第一歩です。

WordPressがマルウェアに感染すると、以下のような症状が現れることがあります。

サイトにアクセスすると、まったく関係のない海外サイトや詐欺サイトに勝手にリダイレクト（転送）されるケースは非常に多く見られます。特にGoogle検索結果からアクセスしたときだけ発生するパターンもあり、サイト管理者が気づきにくいことも特徴です。

管理画面にログインできなくなったり、見覚えのないユーザーアカウントが追加されていたりする場合も危険信号です。また、プラグイン一覧に「ubh」など身に覚えのないプラグインが表示されている場合は、不正なプラグインが設置されている可能性があります。

Googleの検索結果に「このサイトは危険です」「偽のサイトにアクセスしようとしています」といった警告が表示される場合は、すでにGoogleがサイトの異常を検知しています。Google Search Consoleに「ハッキングされたコンテンツが検出されました」というメッセージが届くこともあります。

放置するとどうなる？想定される被害

感染を放置すると、被害は自分だけにとどまりません。サイトに訪れたお客様や取引先のパソコンがマルウェアに感染してしまう可能性があります。また、訪問者の個人情報が抜き取られたり、サイトを踏み台にしてスパムメールが大量送信されたりするケースも報告されています。

SEO面での影響も深刻です。Googleのブラックリストに登録されると検索順位が急落し、最悪の場合は検索結果から完全に除外されてしまいます。取引先やお客様からの信頼を失い、ビジネスに大きなダメージを与えることは避けられません。

ウイルス感染に気づいたら最初にやるべきこと【初動対応】

感染が疑われたら、まずは被害拡大を防ぐことが最優先です。復旧作業よりも先に、以下の初動対応を行いましょう。

① サイトを一時的に非公開にする

訪問者への被害拡大を防ぐため、サイトを一時的に非公開にしましょう。レンタルサーバーの管理画面からメンテナンスモードに切り替えるか、海外からのアクセスを制限する設定を行います。不正アクセスの大半は海外IPアドレスからのため、国内からのアクセスのみ許可するだけでも一定の効果があります。

② パスワードをすべて変更する

WordPress管理画面のパスワードはもちろん、FTP/SFTPのパスワード、データベースのパスワード、レンタルサーバーの管理画面パスワードなど、サイトに関連するすべてのパスワードを変更してください。同じパスワードを他のサービスでも使い回している場合は、そちらも最優先で変更することをおすすめします。

③ バックアップの有無を確認する

復旧作業を始める前に、感染前のバックアップデータがあるかどうかを確認しましょう。レンタルサーバーの自動バックアップ機能や、バックアッププラグインで取得したデータがあれば、復旧の選択肢が広がります。

④ レンタルサーバー会社に連絡する

多くのレンタルサーバー会社では、マルウェア感染時のサポートや、不正ファイルの検出レポートを提供しています。早めに連絡を取り、状況を共有しておくと、復旧作業がスムーズに進む場合があります。

WordPressウイルス感染の対処法【復旧の手順】

初動対応ができたら、次は復旧作業です。ただし、技術的な難易度が高い工程も含まれますので、無理は禁物です。

① 感染ファイルの特定とマルウェア駆除

まずは感染しているファイルを特定する必要があります。WordfenceやMalCareなどのセキュリティプラグインを使用すると、サイト内のファイルをスキャンしてマルウェアを検出できます。不正なファイルは「.ico」ファイルに偽装されていたり、base64でエンコードされた読めないコードが埋め込まれていたりすることが多いです。

ここが難しいポイントです。マルウェアは複数のファイルに分散して設置されていることが多く、1つ見つけて削除しても、バックドア（裏口）が残っていると再感染してしまいます。すべての不正ファイルを漏れなく特定するには、専門的な知識が必要です。

② WordPress本体・プラグイン・テーマの再インストール

感染ファイルを駆除したら、WordPress本体、プラグイン、テーマをすべて公式サイトから再ダウンロードして上書きします。2024年に報告されたWordPress関連の脆弱性のうち、96%がプラグインに起因しているというデータもあり、古いプラグインやテーマが感染経路になっているケースは非常に多いです。

③ データベースのチェックと不正コードの削除

ファイルだけでなく、データベース内にも不正なコードが埋め込まれている場合があります。投稿記事やウィジェットの中に不審なスクリプトが挿入されていないか確認が必要です。これは専門知識がないと見落としやすい部分です。

④ Googleサーチコンソールでの再審査リクエスト

マルウェアを完全に駆除し、サイトが安全な状態に戻ったら、Google Search Consoleから再審査をリクエストします。Googleがサイトを再評価し、問題が解決されていると判断されれば、検索結果の警告表示が解除されます。再審査には数日から数週間かかることがあります。

自分での復旧が難しいと感じたら【専門家への相談】

正直にお伝えすると、ウイルス駆除は専門知識がないと再感染リスクが高い作業です。

中途半端な対応で「駆除したつもり」になっていても、バックドアが残っていれば数日後に再感染してしまいます。実際、自己対応で一度は復旧したものの、1週間後にまた同じ症状が出てしまったというご相談は少なくありません。

専門業者に依頼するメリットは、確実な駆除と再発防止策の提案を受けられること、そして復旧までの時間を大幅に短縮できることです。ビジネスでサイトを運営されている場合、サイトが表示されない期間が長引くほど機会損失が大きくなります。

弊社では、WordPressのマルウェア駆除・復旧サービスを提供しております。初期調査は無料で承っておりますので、「自分で対応するか迷っている」「どこまで被害が及んでいるか分からない」という方も、まずはお気軽にご相談ください。

二度と感染しないために｜今日からできる予防策

復旧後は「もう二度と感染しない」ための対策が欠かせません。日頃の心がけで、多くの攻撃を防ぐことができます。

① WordPress・プラグイン・テーマを常に最新に保つ

脆弱性を狙った攻撃を防ぐ最も基本的な対策です。2025年6月だけでも、プラグイン298件、テーマ39件の脆弱性が報告されています。管理画面に更新通知が出たら、できるだけ早く適用しましょう。

② 信頼できるセキュリティプラグインを導入する

WordfenceやSucuri Securityなどのセキュリティプラグインを導入すると、不正アクセスの監視やファイアウォール機能でサイトを保護できます。無料版でも基本的な保護機能は利用可能です。

③ 定期的なバックアップを自動化する

万が一感染しても、感染前のバックアップがあれば復旧の選択肢が広がります。UpdraftPlusなどのプラグインで、週1回以上の自動バックアップを設定しておきましょう。

④ 管理画面のセキュリティ強化

管理画面のログインURLを変更したり、二段階認証を導入したりすることで、不正ログインのリスクを大幅に下げられます。パスワードは英数字・記号を組み合わせた12文字以上のものを使用してください。

⑤ 不要なプラグイン・テーマは削除する

使っていないプラグインやテーマも、脆弱性があれば攻撃の入口になります。「無効化」ではなく、完全に「削除」しておくことが大切です。

まとめ

WordPressのウイルス感染は、発見したらすぐに「初動対応→復旧→予防策」の流れで対処することが重要です。

感染に気づいたらまずサイトを非公開にして被害拡大を防ぎ、すべてのパスワードを変更してください。復旧作業は技術的に難しい部分も多いため、無理に自己対応しようとして再感染を繰り返すよりも、専門家に相談した方が結果的に早く・確実に解決できる場合があります。

そして何より大切なのは、日頃からの予防策です。WordPressやプラグインの更新、バックアップの自動化、セキュリティプラグインの導入——これらを習慣づけるだけで、大部分の攻撃を防ぐことができます。

「サイトの様子がおかしい」「感染しているかもしれない」と少しでも不安を感じたら、被害が拡大する前にぜひ一度ご相談ください。初期調査は無料で承っております。

お問い合わせ