「サイトが乗っ取られているかもしれない」と思ったら

身に覚えのないページが表示される、検索結果に変な文字が並ぶ、Googleから警告が届く。こうした症状が出たら、WordPressがマルウェアに感染・改ざんされている可能性があります。慌てて自己流で対処すると、かえって状況を悪化させることもあります。

この記事では、マルウェア感染の確認方法と駆除の進め方、そして再発を防ぐための対策を、落ち着いて対応するための手順として解説します。

感染・改ざんのサイン

次のような症状が見られたら、感染を疑います。

サイトを開くと見知らぬサイトへ勝手にリダイレクトされる
検索結果に身に覚えのない日本語以外の文字や薬機系の文言が出る
Google Search Consoleに「セキュリティの問題」が表示される
ブラウザが「危険なサイト」と警告する
身に覚えのない管理者アカウントや不審なファイルがある

これらは、サイトが第三者に悪用されているサインです。放置すると訪問者にも被害が及び、検索評価や信用も大きく損なわれます。

まずやるべき初動（慌てて消さない）

感染に気づいたときの初動が重要です。

むやみにファイルを削除せず、まず現状のバックアップを取る（証拠保全）
WordPress・FTP・データベース・サーバーの全パスワードを変更する
Search Consoleで指摘された問題箇所を確認する
可能なら一時的にサイトをメンテナンス状態にする

特に「とりあえず怪しいファイルを消す」は危険です。原因の特定前に消すと、復旧や調査が難しくなることがあります。

初動を間違えないために

マルウェア感染はリダイレクト・スパム表示・Google警告などのサインで気づけます。初動は「慌てて消さず、バックアップとパスワード変更」。ここからは、実際の駆除と再発防止の進め方を解説します。

マルウェア駆除の進め方

駆除は、原因の特定と確実なクリーン化が肝心です。

1. クリーンな状態へ戻す

感染前の正常なバックアップがあれば、それを使って復元するのが最も確実です。バックアップが無い場合は、不審ファイルを一つずつ特定して除去する必要があり、難易度が上がります。

2. コアファイルとプラグインを入れ替える

WordPress本体やプラグインを公式の正規ファイルで上書きし、改ざんされたコードを排除します。使っていないプラグイン・テーマは削除します。

3. アップロード領域とデータベースを確認する

wp-content/uploads 内に紛れ込んだ不正なPHPファイルや、データベースに埋め込まれた不審なコードも確認します。侵入口（脆弱なプラグイン等）を塞がないと再発します。

4. すべての認証情報を再設定する

パスワードに加え、wp-config.php の認証キー（ソルト）も再発行し、不正に作られた管理者アカウントを削除します。

実際にあった対応事例：カジノサイトへのリダイレクト

実際に対応した事例を紹介します。あるサイトで、アクセスするとギャンブル（カジノ）サイトへ勝手にリダイレクトされるという改ざん被害が起きていました。

サーバーにSSHでログインして調べると、WordPressのコアファイル群の中に、本来ありえない不審なファイルが作られていました。しかも、そのファイルを削除しても、しばらくすると自動的に再生成される状態。どこかにバックドアが仕込まれ、繰り返し不正ファイルを生成する仕組みになっていたのです。WP関連のコアファイルにも不審なコードが混入し、そのコードによって生成された不正ファイルも見つかりました。

対応として、SSHで作業できる環境だったため、コマンドでWordPressの正規ファイルを取得し、改ざんされたコアファイルを正規のものへ置き換えました。あわせて、放置されて古いままだったPHP・WordPress本体・プラグインをすべて最新版に更新。侵入口（脆弱性）そのものの特定には至りませんでしたが、古い状態を一掃することで再発リスクを大きく下げました。

※侵入口が完全には特定できないケースもあります。その場合でも、正規ファイルへの置き換えと全体の最新化、認証情報の再設定によって、現実的に被害を止めることができます。