【ハッキング？】と思ったら。WordPressのマルウェアをスキャン・確認する方法

サイトの表示崩れや不審な転送は、もしかしたらマルウェア（悪意のあるプログラム）に感染してしまったサインかもしれません。この記事では、専門知識がなくても自分できるマルウェアのスキャン方法を紹介します。

はじめに：マルウェアに感染しているか確認

ご自身のサイトに、以下のような症状は出ていませんか？

• サイトの表示が突然崩れた
• 検索結果に見慣れないタイトルが表示される
• サイトを閲覧中に、意図しないサイトへ転送（リダイレクト）される
• WordPressの管理画面にログインできない
• 身に覚えのないユーザーが追加されている
• サーバーに不審なファイルが設置されている

これらの症状が一つでも当てはまる場合、サイトがマルウェアに感染している可能性が非常に高い状態です。まずはマルウェアのスキャンを行い、本当に感染しているかを確認しましょう。

無料で使えるWordPressのマルウェアスキャンプラグイン

専門知識がなくても、画面の指示に従うだけでマルウェアをスキャンできる、信頼性の高い無料プラグインをご紹介します。

• Wordfence Security：世界で最も利用されている、実績No.1の定番プラグイン。
• Sucuri Security：プラグインだけでなく、オンラインスキャナーも提供。
• WP-Doctor Malware Scanner & Security：日本の企業が開発している国産プラグイン。

ここで紹介した以外にも、マルウェアスキャンプラグインは様々な種類があります。

各ツールのより詳しい機能比較については、「プロが解説！WordPressマルウェア駆除・スキャンプラグイン5選」も合わせてご覧ください。あなたのサイトの目的や状況にぴったりのものが見つかるはずです。

スキャン実行前に必ずサイトをバックアップ

マルウェアの駆除作業中に万が一の事態が起きても、バックアップがあればサイトをいつでも元の状態に復元できます。作業前には必ずバックアップを取得してください。

専門知識がない方でも「All-in-One WP Migration」というプラグインを使えば、数クリックでサイト全体のバックアップを取得できます。

1. WordPressの管理画面にログインし、左側メニューから「All-in-One WP Migration」> 「バックアップ」をクリックします。
2. 「バックアップを作成」をクリックすると自動的にバックアップが開始します。

まずはこのプラグインをインストール・有効化し、バックアップデータをエクスポート（書き出し）して、ご自身のPCに保存しておきましょう。

Wordfenceを使ったマルウェアスキャン手順

数あるスキャンツールの中でも、Wordfenceは世界中のサイトで利用されておりスキャン精度も高いため、特におすすめです。ここではWordfenceを使ったスキャンの手順を解説します。

ステップ1：Wordfenceのインストールと有効化

1. WordPressの管理画面にログインし、左側メニューから「プラグイン」>「新規追加」をクリック。
2. 右上の検索窓に「Wordfence」と入力。
3. 「Wordfence Security – Firewall, Malware Scan, and Login Security」が表示されたら、「今すぐインストール」をクリック。
4. インストール完了後、ボタンが「有効化」に変わるので、再度クリック。
5. ポップアップが表示されたら「Wordfence ライセンスを入手」をクリック。
6. 公式サイトに転送されたら「Get a Free license」をクリックし、表示されたポップアップの「I’m OK waiting 30 days for protection from new threats」をクリック。
7. 「メールアドレス」を入力し「Register」をクリク。
8. 登録したメールアドレスにメールを開き「Install My License Automatically」をクリック。
9. ライセンスが入力された状態でWordPressの管理画面へ移管するので「ライセンスインストール」をクリック。

ライセンスを登録するとスキャンができるようになります。

ステップ2：マルウェアをスキャン

1. 管理画面の左側メニューに新しく追加された「Wordfence」をクリック。
2. 次に「スキャン」をクリック。
3. 画面中央にある「新しいスキャンを開始」という青いボタンをクリック。

これでサイトのスキャンが始まります。サイトの規模にもよりますが、数分から数十分ほどで完了しますので、結果が出るまで待ちましょう。

ステップ3：スキャン結果の確認

スキャンが完了すると、「発見した結果」の下にスキャン結果が表示されます。結果画面で特に注目すべきは、「致命的」と表示されている項目です。

「致命的」と表示された問題がある場合は、サイトがマルウェアに感染しているか、あるいは深刻な脆弱性が存在する可能性が非常に高いです。一方「新しい問題は見つかっていません。」と表示されていれば、ひとまず安心です。

結果の詳しい見方が分からなくても、まずは「深刻度の高い問題があるかないか」を確認することが重要です。

ステップ4：マルウェアを削除する

スキャン結果で「致命的」な問題が見つかった場合、Wordfenceはその場でファイルを削除または修復する機能を提供してくれることがあります。

【重要】ただし、この操作は非常に慎重に行ってください。

万が一、WordPressの動作に必要な重要ファイル（コアファイル）を誤って削除してしまうと、サイトが表示されなくなったり、管理画面にログインできなくなったりする危険性があります。

もしファイル名に見覚えがなかったり、削除して良いか判断に迷った場合は、安易に削除ボタンを押さないでください。少しでも不安を感じたら、まずは専門家へ相談することを強くおすすめします。

プラグインを使わずにマルウェアをスキャンする方法

• WordPressの管理画面にログインできない
• プラグインをインストールする操作自体が怖い

このような場合は、サイトのURLを入力するだけで、外部から簡易的なチェックが可能できる「オンラインスキャンツール」を使いましょう。

代表的なツールが「Sucuri SiteCheck」です。

使い方はとてもシンプルで、公式サイトにアクセスし、ご自身の「サイトURL」を入力して「SUBMIT」ボタンをクリックするだけです。数秒で、サイトがブラックリストに登録されていないか、外部から見て不審な点はないかを診断してくれます。

ただし、これはあくまで簡易的な外部診断です。ここで問題が検知されなくても、サイトに異常な症状が出ている場合は、なるべく早く専門家へ相談してください。

スキャン後はサイトのセキュリティを強化しよう

マルウェアのスキャンと駆除が完了したら、再発を防ぐためにサイトのセキュリティ対策を行いましょう。専門知識がなくても簡単にできる対策を4つ紹介します。

• パスワードの強化：第三者が推測しにくい、大文字・小文字・数字・記号を組み合わせた15桁以上の複雑なパスワードに変更しましょう。
• プラグインの更新：使用しているプラグインは常に最新の状態に保ち、可能であれば自動更新を有効にしましょう。
• サイトの定期バックアップ：「All-in-One WP Migration」などのプラグインを使うか、お使いのサーバーに自動バックアップ機能があれば有効化しておきましょう。
• マルウェアの定期スキャン：「Wordfence」を使い、定期的にサイトをスキャンする習慣をつけましょう。

簡単な対策でもセキュリティレベルは大きく向上します。まずはこれらの対策を取り入れ、あなたの大切な資産であるサイトを守りましょう。

まとめ：サイトの「健康診断」を習慣に

本記事では、WordPressのマルウェアスキャンについて、ご自身ですぐにできる具体的な手順から、ツールの選び方、感染発覚後の対処法までを解説しました。

ウェブサイトに異変が起きた時の不安は計り知れないものがあります。しかし、最も重要なのは、問題が起きてから慌てることではなく、日頃から定期的にサイトの健康診断を行う習慣を持つことです。

もし、「自分で対処するのは、やはり不安だ」「すでに何か問題が起きているかもしれない」と感じたら、いつでも私たちのような専門家へ相談ください。 私たちWP Allsafeは、サイトのセキュリティ診断から緊急時の復旧まで、いつでもお手伝いします。