WordPress 2025.12.27

WordPressに勝手に入れられた怪しいプラグイン|マルウェア感染の見分け方と対処法

約7分で読めます

WordPressサイトに身に覚えのないプラグインが勝手にインストールされていませんか?マルウェア感染の可能性があります。20年の実績を持つWeb制作会社が、感染の見分け方から完全復旧までの具体的な対処法を解説します。

こんな状況に心当たりはありませんか?

「WordPressの管理画面を開いたら、インストールした覚えのないプラグインが入っている」 「サイトの表示速度が急に遅くなった」 「Googleから『サイトにマルウェアが検出されました』という警告が来た」

もしこれらに当てはまるなら、あなたのWordPressサイトはマルウェアに感染している可能性が高いです。20年間で300社以上のWebサイトを手がけてきた私たちFivenine Designでも、近年このようなご相談が急増しています。

マルウェア感染の典型的なパターン

怪しいプラグインの特徴

先日対応したクライアント様のケースでは、以下のような不審なプラグインが勝手にインストールされていました:

  • 名前が英数字の羅列(例:wp-cache-x7k2m
  • 作者名が「Unknown」や空白
  • 説明文が意味不明な英語
  • 最終更新日が異常に古い、または新しすぎる
  • WordPressの公式ディレクトリにない

感染時に起こる症状

実際のクライアント事例から、感染時の典型的な症状をまとめました:

  • 表示速度の大幅な低下:正常時3秒 → 感染後15秒
  • 管理画面へのアクセス困難:ログインできない、または異常に重い
  • 検索順位の急激な下落:上位表示されていたキーワードが圏外に
  • 怪しい外部サイトへのリダイレクト:訪問者が勝手に他のサイトに飛ばされる

感染確認の具体的手順

ステップ1:プラグインの確認

WordPress管理画面で以下をチェックしてください:

管理画面 → プラグイン → インストール済みプラグイン

各プラグインについて以下を確認:

  • インストールした記憶があるか
  • 公式ディレクトリに存在するか
  • 作者名は信頼できるか

ステップ2:ファイルの確認

FTPまたはcPanelのファイルマネージャーで、以下のディレクトリを確認:

/wp-content/plugins/

不審なフォルダ名のプラグインがないかチェックします。特に以下のような命名パターンは要注意:

  • wp-cache-xxx(xxxは英数字の羅列)
  • hello-dolly-xxx
  • akismet-xxx

ステップ3:.htaccessファイルの確認

サイトルートの.htaccessファイルに不審なコードが追加されていないか確認:

# 正常なWordPressの.htaccessの例
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

上記以外の複雑なリダイレクトルールや、意味不明なコードが追加されている場合は感染している可能性があります。

対処法:段階的な復旧手順

緊急対応(感染拡大防止)

1. サイトを一時的にメンテナンスモードに

// wp-config.phpの最上部に追加
define('WP_MAINTENANCE_MODE', true);

2. 管理者パスワードの変更

感染経路の一つとして、弱いパスワードからの不正ログインが考えられます。すぐにパスワードを複雑なものに変更しましょう。

本格的な駆除作業

1. 怪しいプラグインの削除

管理画面 → プラグイン → 該当プラグインを「削除」

管理画面にアクセスできない場合は、FTPで直接削除:

/wp-content/plugins/[怪しいプラグイン名]/

2. WordPressコアファイルの再インストール

管理画面 → 更新 → 「再インストール」

3. 全プラグインの再確認

信頼できるプラグインのみ残し、不要なものはすべて削除します。

実際の復旧事例:製造業A社の場合

ある製造業のクライアント様では、マルウェア感染により以下の被害がありました:

  • サイトアクセス数が1日1,000PV → 100PVに激減
  • 問い合わせが月20件 → 2件に減少
  • Google検索で「サイトにアクセスできません」警告が表示

対処手順

  1. 感染したプラグイン3個を特定・削除
  2. WordPressコアを最新版に再インストール
  3. 全プラグインを信頼できるもののみに絞り込み
  4. セキュリティプラグインの導入
  5. 定期バックアップの設定

結果

  • 復旧作業完了から1週間でアクセス数が正常に回復
  • Google警告も解除され、検索順位も元の水準に
  • その後1年間、再感染なし

よくある失敗パターンと注意点

失敗例1:感染ファイルの見落とし

「プラグインを削除したから大丈夫」と思っていたら、テーマファイルにもマルウェアが仕込まれていたケースがありました。プラグインだけでなく、以下も必ずチェックしましょう:

  • /wp-content/themes/[使用中テーマ]/
  • /wp-content/uploads/
  • wp-config.php

失敗例2:バックアップからの復元で再感染

感染前のバックアップと思っていたデータにも、実はマルウェアが含まれていた事例があります。復元前に、バックアップデータも必ずスキャンしましょう。

感染を防ぐための予防策

セキュリティ強化の3つのポイント

  1. 定期的なアップデート

    • WordPress本体、プラグイン、テーマを常に最新版に
    • 自動更新の有効化を推奨

  2. 信頼できるプラグインのみ使用

    • WordPress公式ディレクトリからのダウンロード
    • 定期的に更新されているもの
    • ダウンロード数と評価が高いもの

  3. セキュリティプラグインの導入

    • Wordfence Security
    • SiteGuard WP Plugin
    • All In One WP Security

まず何をすべきか:具体的なアクションプラン

今すぐやるべきこと

  1. WordPressの管理画面でプラグイン一覧を確認
  2. 身に覚えのないプラグインがあれば即座に無効化
  3. 管理者パスワードを複雑なものに変更

1週間以内にやること

  1. 全プラグインとテーマの最新版への更新
  2. セキュリティプラグインの導入
  3. 定期バックアップの設定

もし自分での対応が不安な場合

マルウェアの完全駆除には、深い技術知識と豊富な経験が必要です。間違った対応をすると、サイトが完全に壊れてしまう可能性もあります。

Fivenine Designでは、WordPressのセキュリティトラブルに関する無料相談を承っています。20年間で蓄積したノウハウを活かし、迅速かつ確実な復旧をお約束します。

被害が拡大する前に、まずはお気軽にご相談ください。あなたのビジネスを守るために、私たちがサポートいたします。

この記事をシェア

関連記事

ブログ一覧に戻る