「最近、サイトの表示が妙に遅い…」
「Googleの検索結果に、見覚えのない英語のページが表示される…」
「訪問者から『変な広告が出る』と報告があった…」
もしあなたのWordPressサイトでこんな現象が起きていたら、それは単なる不具合じゃないかもしれません。サイトの裏側で悪意のあるプログラム「マルウェア」が静かに活動しているサインの可能性があります。
はじめに:見えない脅威「マルウェア」の恐怖
マルウェアは目に見えない形であなたのサイトに忍び込み、訪問者を危険にさらしたり、サイトの評判を地に落としたりする恐ろしい存在。攻撃者はサイトの規模や知名度に関係なく、脆弱性のあるWordPressサイトを常に探し回っています。
セキュリティ会社Sucuriの調査によると、感染サイトの6割以上で、攻撃者がいつでも再侵入できる「バックドア」が発見されているそうです[1]。一度感染すると、その被害は深刻かつ長期にわたる可能性があるんです。さらにマルウェア感染に気づかずに放置していると、知らないうちに自分のサイトが他のサイトを攻撃する「踏み台」として悪用されてしまうことも。
この記事ではWordPressを標的とする代表的なマルウェアの種類から、攻撃者がどのような手口でサイトに侵入してくるのか(感染経路)、そして感染の兆候や今すぐできる予防策まで、初心者の方にも分かりやすく解説していきますね。
そもそもマルウェアって何?
まず「マルウェア」という言葉の定義をはっきりさせておきましょう。
マルウェア(Malware)とは、「Malicious Software(悪意のあるソフトウェア)」を短縮した言葉。その名の通り、コンピューターやネットワークに不正かつ有害な動作をさせる目的で作られた、ソフトウェアやプログラムコードの総称です。一般的に「コンピューターウイルス」と呼ばれるものも、マルウェアの一種。
WordPressサイトにおけるマルウェアは、サイトのファイル(PHPファイル、JavaScriptファイルなど)やデータベースに不正に埋め込まれ、以下のような様々な悪事を働きます。
- サイトの情報を盗む(個人情報、クレジットカード情報、ログイン情報など)
- サイトを改ざんし、偽の情報や不正な広告を表示する
- 訪問者を別の危険なサイトへ強制的に移動させる(リダイレクト)
- 他のサイトを攻撃するための「踏み台」として利用する
- サイト訪問者のコンピューターリソースを無断で利用する
マルウェアに感染するということは、あなたのサイトが知らないうちに犯罪行為の片棒を担がされてしまう可能性をも意味します。被害者であると同時に訪問者や他のサイトに対する加害者にもなり得る、それがマルウェア感染の恐ろしさなんです。
WordPressを狙う代表的なマルウェアの種類
WordPressを標的とするマルウェアには様々な種類があります。ここでは特に被害報告の多い代表的な5つのタイプをご紹介しますね。
| マルウェアの種類 | 主な目的・手口 | 具体的な被害 |
|---|---|---|
| バックドア | サイトへの再侵入経路を確保する | 継続的なサイト改ざん、情報漏洩、他のマルウェアの設置 |
| SEOスパム | 検索順位を不正に操作する | 検索結果に無関係なページが表示される、サイト評価の低下 |
| 悪質なリダイレクト | 訪問者を別のサイトへ強制的に誘導する | フィッシングサイトやマルウェア配布サイトへ誘導される |
| フィッシング | 個人情報や認証情報を詐取する | 偽のログインページでID・パスワードを盗まれる |
| クリプトジャッキング | 訪問者のPCリソースを無断で利用する | サイト表示速度の低下、訪問者のPCに高負荷がかかる |
1. バックドア(Backdoor):最も狡猾な侵入者
バックドアは、一度侵入に成功した攻撃者がその後もいつでも自由にサイトへアクセスできるように設置する「裏口」。たとえ脆弱性を修正したりパスワードを変更したりしても、バックドアが残っている限り攻撃者は再び侵入できてしまいます。
Sucuriの調査では感染したWordPressサイトの60%以上からバックドアが発見されており[1]、攻撃者がいかに再侵入を重視しているかが分かります。バックドアはwp-config.phpやテーマのfunctions.php、プラグインファイルなど、一見正常なファイルの中に巧妙に隠されていることが多く、発見がとても困難なんです。
バックドアには主に以下の2つのタイプがあります。
アップローダー型バックドア
攻撃者がいつでも追加の悪性ファイルをサーバーにアップロードできるようにする仕組み。一見すると無害なファイルアップロード機能のように見えますが、実際には攻撃者だけが知っている特定のパラメータを送信することで、任意のファイルをアップロードできるようになっています。
例えば/wp-admin/maint/air.phpのような、WordPressの標準ディレクトリに紛れ込ませた偽のファイルとして設置されることも。このバックドアを使って攻撃者は新たなマルウェアを次々とアップロードし、サイトを完全に支配下に置くことができちゃうんです。
インジェクター型バックドア
サイトのデータベースやファイルに悪意のあるコードを注入(インジェクト)するタイプのバックドア。例えばWordPressのユーザーテーブルに不正な管理者アカウントを自動で作成したり、すべてのページに見えないスパムリンクを埋め込んだりします。
さらに悪質なケースではサーバーのcronジョブ(定期実行タスク)と連携し、サイト管理者がマルウェアを削除しても数分後には自動的に再感染させる仕組みを持っているものも。このためバックドアを完全に除去しない限り、いたちごっこが続くことになります。
2. SEOスパム(別名:ファーマハック):検索順位を破壊する寄生虫
SEOスパムは攻撃者が自身のサイトの検索順位を不正に上げる目的で、あなたのサイトを踏み台にするマルウェア。サイトのファイル(特にfooter.phpなど全ページで読み込まれるテンプレートファイル)やデータベースに大量のスパムリンクを埋め込みます。
これらのリンクは医薬品(特にバイアグラなどED治療薬)やブランド品の偽サイトへのリンクが多いため、「ファーマハック(Pharma Hack)」とも呼ばれているんです。
これらのリンクはCSSを使って訪問者には見えないように隠されている(例:height: 0px; width: 0px; overflow: hidden;)ことがほとんど。そのためサイト運営者も気づきにくく、長期間にわたって放置されてしまうケースが多く見られます。
ただし検索エンジンのクローラーはこれらの隠しリンクを認識します。その結果、あなたのサイトがスパムサイトと見なされ、検索順位が大幅に下落したり、最悪の場合Googleの検索結果から完全に除外(インデックス削除)されたりする原因に。長年かけて積み上げてきたSEO評価が一夜にして崩壊してしまうんですよ。
3. 悪質なリダイレクト(Malicious Redirect):訪問者を危険な場所へ誘導
サイトにアクセスした訪問者を本人の意図に反して別のサイトへ強制的に転送(リダイレクト)するマルウェア。.htaccessファイルやJavaScriptファイル、あるいはPHPファイルが改ざんされ、リダイレクト処理が埋め込まれるケースが多く見られます。
転送先は、偽の警告を表示してソフトを買わせようとする詐欺サイト、アダルトサイト、ギャンブルサイト、あるいは別のマルウェアをダウンロードさせるサイトなど極めて悪質。訪問者はあなたのサイトにアクセスしたつもりが、気づいたら全く別の危険なサイトに飛ばされてしまいます。
特に悪質なケースでは検索エンジン経由でアクセスしたユーザーだけをリダイレクトさせたり、スマートフォンユーザーだけを標的にしたりするなど、条件分岐を使って巧妙に検知を逃れる仕組みになっていることも。サイトの信頼性を根底から覆し、訪問者を危険にさらす深刻な脅威です。
4. フィッシング(Phishing):偽のページで情報を盗む
あなたのサイトの一部が有名企業(銀行、ECサイト、SNSなど)のログインページそっくりに改ざんされ、訪問者のIDやパスワード、クレジットカード情報などを盗み出す目的で設置されます。攻撃者は信頼性の高いドメインを持つWordPressサイトを乗っ取り、その中に偽のログインページを作成することで訪問者を騙しやすくするんです。
盗まれた情報は不正利用されたり、ダークウェブで売買されたり。あなたのサイトが知らないうちにフィッシング詐欺の道具として使われてしまうわけです。この場合、被害を受けた訪問者から法的責任を問われる可能性もあり、サイト運営者にとっても深刻な問題となります。
5. クリプトジャッキング(Cryptojacking):見えない採掘作業
サイトに訪問したユーザーのブラウザ上で暗号資産(仮想通貨)をマイニング(採掘)するスクリプトを無断で実行させるマルウェア。訪問者はサイトを閲覧しているだけで、自分のコンピューターの処理能力(CPUパワー)を勝手に利用されてしまいます。
これによりサイトの表示速度が著しく低下したり、訪問者のPCの動作が重くなったり、ファンが激しく回転して異音がしたり。サイトのユーザー体験を大きく損なうだけでなく、知らないうちに他人のリソースを搾取する手助けをしてしまうことになります。訪問者からの信頼を失い、二度とサイトに戻ってきてもらえなくなる可能性が高まるんです。
マルウェアはどこからやってくる?三大感染経路
ではこれらの恐ろしいマルウェアは一体どのような経路でWordPressサイトに侵入してくるのでしょうか。主な感染経路は以下の3つに集約されます。
感染経路1:プラグインの脆弱性(最も多い原因)
WordPressサイトへの攻撃の半数以上はプラグインの脆弱性を狙ったものだと言われています[2]。プラグインはWordPressの機能を拡張する便利なツールですが、そのコードにセキュリティ上の欠陥(脆弱性)が存在することもあるんです。
プラグイン経由での感染が多い理由は以下の通りです。
更新されていないプラグイン
開発者が脆弱性を修正した更新版をリリースしても、サイト運営者がアップデートを怠っていると、既知の脆弱性が放置されたままに。攻撃者は公開されている脆弱性情報を元に、アップデートしていないサイトを自動的に探し出し、攻撃を仕掛けてきます。
開発が停止しているプラグイン
長年更新されておらず、開発者のサポートが終了しているプラグインは、発見された脆弱性が永久に修正されないまま放置されます。このようなプラグインを使い続けることは、玄関のドアを開けっ放しにしているのと同じです。
信頼性の低いソースからのインストール
WordPress公式ディレクトリ以外で配布されている野良プラグインや、有料プラグインの海賊版(Nulled Plugin)には、最初からマルウェアが仕込まれていることが少なくありません。無料で便利なプラグインを手に入れたつもりが、実はバックドア入りだった、というケースが後を絶ちません。
過去にはたった一つのプラグインの脆弱性が原因で300万以上のサイトが危険にさらされた事例もあります[3]。2021年12月には導入率の高いSEOプラグインで権限昇格やSQLインジェクションの脆弱性が発覚し、大規模な被害が発生しました。
感染経路2:テーマの脆弱性
プラグインと同様にWebサイトのデザインを管理する「テーマ」にも脆弱性が存在する場合があります。特に以下のようなテーマには注意が必要です。
公式ディレクトリ以外で配布されている無料テーマ
WordPress公式ディレクトリ以外のサイトで配布されている無料テーマには、審査を通過していないものが多く、セキュリティ上の問題を抱えている可能性があります。中には意図的にマルウェアが埋め込まれているものも。。。
有料テーマの海賊版(Nulled Theme)
本来有料で販売されているテーマを、ライセンス認証を解除して無料で配布している「Nulled Theme」は非常に危険。これらのテーマにはほぼ確実にバックドアやマルウェアが仕込まれています。「タダより高いものはない」という言葉を肝に銘じるべきです。
サポートが終了した古いテーマ
開発者がサポートを終了し更新が止まってしまったテーマも脆弱性が放置されたままに。デザインが気に入っていてもセキュリティリスクを考えれば使用を中止したほうがいいでしょう。
感染経路3:弱いパスワードと認証情報の漏洩
推測されやすい単純なパスワード(例:「password123」「admin2024」)を設定していると、ブルートフォース攻撃(総当たり攻撃)によって簡単にログイン情報を突破されてしまいます。また他のサービスで使っているパスワードを使い回していると、そのサービスから情報が漏洩した場合にWordPressサイトも危険にさらされます。
さらにレンタルサーバーのFTPアカウント情報やデータベースのアクセス情報が何らかの理由で漏洩した場合、攻撃者は管理画面を経由せずに直接サーバー上のファイルを改ざんしたり、データベースに不正なコードを注入したりすることができちゃうんです。
感染したらどうなる?マルウェア感染の兆候と被害
もしあなたのサイトがマルウェアに感染した場合、次のような兆候が現れます。一つでも当てはまる場合はすぐに詳細な調査と対応が必要です。
主な感染の兆候
- サイトの表示が極端に遅くなった、または頻繁にタイムアウトする
- Googleの検索結果に「このサイトは第三者によってハッキングされている可能性があります」「このサイトはコンピュータに損害を与える可能性があります」という警告が表示される
- 身に覚えのないファイル(特に不審な名前のPHPファイル)がサーバー上に存在する
- 身に覚えのない管理者ユーザーがWordPressに登録されている
- ログインページから管理画面に正常にリダイレクトされない、またはログインできない
- サイトのコンテンツが勝手に書き換えられている、または不審なリンクが追加されている
- 意図しないポップアップ広告やアダルト広告が表示される
- レンタルサーバー会社から「不正なアクセスが検出されました」「マルウェアが検出されました」という警告のメールが届く
- サイト訪問者から「別のサイトに飛ばされる」「ウイルス警告が出る」という報告がある
これらの症状はマルウェアが活動している明確なサイン。放置すればするほど被害は拡大し、復旧にかかる時間とコストも増大します。
感染による具体的な被害
マルウェア感染がもたらす被害は、単にサイトが正常に動作しなくなるだけじゃありません。以下のような深刻かつ多岐にわたる被害が発生します。
- 検索順位の急落:SEOスパムによりGoogleからペナルティを受け、検索結果から除外される。
- 訪問者数の激減:警告表示やリダイレクトにより、訪問者がサイトを避けるようになる。
- 個人情報・顧客情報の漏洩:データベースから情報が盗まれ、法的責任を問われる可能性がある。
- ブランドイメージの失墜:信頼を失い、回復に長い時間がかかる。
- サーバーアカウントの停止:ホスティング会社から規約違反としてアカウントを停止される。
- 復旧コストの発生:専門業者に依頼すると、数万円から数十万円の費用がかかることも。。。
今すぐできる!マルウェア感染を防ぐための予防策
マルウェア感染は一度発生すると復旧に多大な時間とコストがかかり、サイトが積み上げてきた信頼を一瞬で失いかねません。だからこそ感染してから対処するのではなく、感染させないための「予防」こそが最も大切です。
ここでは今すぐ実践できる基本的な予防策をご紹介します。
予防策1:WordPress本体、プラグイン、テーマを常に最新の状態に保つ
これは最も基本的でありながら最も効果的な対策。WordPress本体、プラグイン、テーマの開発者は脆弱性が発見されると速やかに修正版をリリースします。更新通知が来たらできるだけ早くアップデートを実行しましょう。
ただしアップデート前には必ずバックアップを取ることを忘れないでください。万が一アップデートによって不具合が発生した場合でもすぐに元の状態に戻せるようにしておきましょう。
予防策2:使用していないプラグイン・テーマは削除する
「無効化」しているだけでは不十分。無効化されたプラグインやテーマでもファイル自体はサーバー上に残っているため、脆弱性を突かれる可能性があります。使わないものは完全に削除しましょう。
予防策3:信頼できるソースからのみプラグイン・テーマをインストールする
プラグインやテーマは必ずWordPress公式ディレクトリ、または開発者の公式サイトからダウンロードしてください。無料で便利そうに見えても出所不明のファイルは絶対にインストールしないようにしましょう。
予防策4:強力なパスワードを設定し、二要素認証を導入する
管理者アカウントのパスワードは12文字以上で、英大文字・小文字・数字・記号を組み合わせた推測されにくいものに。さらに二要素認証(2FA)を導入することで、万が一パスワードが漏れても不正ログインを防ぐことができます。
予防策5:定期的にバックアップを取る
どんなに対策を講じても100%安全とは言い切れません。万が一の事態に備えサイトのデータ(ファイルとデータベース)を定期的にバックアップしておきましょう。バックアップがあれば感染前の状態に復元できます。
予防策6:セキュリティプラグインを導入する
Wordfence、SiteGuard WP Plugin、Sucuri Securityなどのセキュリティプラグインを導入することで、ファイルの改ざん検知、マルウェアスキャン、ブルートフォース攻撃の防御など、多層的なセキュリティ対策を自動で実施できます。
予防策7:ファイルのパーミッション(アクセス権限)を適切に設定する
サーバー上のファイルやディレクトリのパーミッション設定が甘いと、攻撃者に簡単にファイルを書き換えられてしまいます。特にwp-config.phpは外部から直接アクセスできないように保護する必要があります。
まとめ:予防こそが最善のセキュリティ対策
今回はWordPressを狙うマルウェアの種類とその主な感染経路について詳しく解説しました。バックドア、SEOスパム、悪質なリダイレクト、フィッシング、クリプトジャッキングなど、その手口は巧妙かつ悪質化しています。
マルウェア感染は一度発生すると復旧に多大な時間とコストがかかり、サイトが積み上げてきた信頼を一瞬で失いかねません。検索順位の急落、訪問者数の激減、個人情報の漏洩、ブランドイメージの失墜など、その被害は計り知れません。
だからこそ感染してから慌てて対処するのではなく、感染させないための「予防」こそが最も大切なんです。WordPress本体、プラグイン、テーマを常に最新の状態に保ち、信頼できるソースからのみインストールし、強力なパスワードと二要素認証で管理画面を守り、定期的にバックアップを取る。これらの地道な対策の積み重ねが、見えない脅威からあなたのサイトを守る強力な盾となります。
セキュリティ対策って、一度やったら終わりじゃないんです。残念ながら、攻撃の手口は日々進化しています。今日は安全でも、来月には新しい脅威が現れるかもしれません。だからこそ、定期的にチェックして、必要に応じて対策を見直していくことが大切です。
とはいえ、最初から完璧を目指す必要はありません。まずは今回ご紹介した基本対策から始めてみてください。これだけでも、何もしていない状態と比べれば、サイトの安全性は格段に上がります。
もしご自身での対策や、感染時の調査・復旧に不安を感じる場合は、専門のセキュリティサービスに相談するという選択肢もあります。被害が深刻化する前にプロの診断を受けることが、サイトを救うための最善手となることもありますからね。
「うちのサイト、今どのくらい安全なんだろう?」
そんな疑問を持った方は、まずセキュリティ診断を受けてみるのもいいかもしれません。最近では、30秒ほどでサイトの安全性をチェックできる無料診断サービスもあります。暗号化の設定やプラグインの脆弱性、情報漏れのリスクなど、気になるポイントを一通り確認できます。
実は、毎日100サイト以上がハッキングの被害に遭っているという現実があります。「まさか自分のサイトが狙われるなんて」と思っていても、被害は突然やってきます。
早めに問題を見つけて対処しておけば、大きなトラブルを未然に防げます。まずは自分のサイトの「健康診断」から始めてみませんか?
参考文献
[1] Sucuri – Top 5 Most Common WordPress Malware Infections (2025年10月21日アクセス)
[2] AeyeScan – WordPress脆弱性攻撃の仕組みとプラグインが攻撃要因の56%を占める理由 (2025年10月21日アクセス)
[3] Canon Marketing Japan – WordPressのプラグイン経由でマルウェア感染?どのように防ぐのか? (2025年10月21日アクセス)