WordPressサイトを狙った攻撃は毎分約9万件と言われています。マルウェア攻撃は真剣に検討すべき事項です。サイバーセキュリティを適切に管理しなければ、サイトやビジネスを危険にさらすことになりかねません。

しかし、悪意のある活動を恐れる必要はありません。WordPressのマルウェアをスキャンすることで、サイトが侵害された場合であっても、有害なコンテンツを特定し、排除することができます。また、将来的にウェブサイトへの攻撃を防ぐ方法もたくさんあります。

この記事では、マルウェアとは何か、なぜマルウェアの検知がサイトのメンテナンスの面で不可欠なのかを説明します。また、サイトがハッキングされたと思われる場合に、マルウェアをスキャンして削除する方法も明らかにします。

それでは、さっそく始めましょう。

マルウェアとは

マルウェアとは「悪意のあるソフトウェア」を意味します。ハッカーがWordPressサイトに不正アクセスしたり、損害を与えたりするために使用する有害なソフトウェアの総称です。マルウェアはサイトに様々な悪影響を及ぼし、深刻なセキュリティリスクをもたらします。

サイトにマルウェアが存在するとき、通常、明らかな(または、それらしい)兆候が見られます。

これらの問題には複数の原因が考えられますが、1つ以上該当する場合は、マルウェアに感染している可能性を調べるだけの価値があります。

WordPressサイトにマルウェアが入り込む流れ

マルウェアは、さまざまな方法でWordPressサイトに入り込みます。典型的なものとして、ハッカーやボットにより、セキュリティの脆弱性が狙われることがあります。

たとえば、不正なログインが繰り返されないようにセキュリティ面での対策を施していなかったり、パスワードが脆弱だったりすると、ハッカーによるサイトへのアクセスが容易になってしまう可能性があります。そして、総当たり攻撃によってマルウェアがインストールされてしまうことがあります。ボットを使った行為で、ログインページで何百ものユーザー名とパスワードの組み合わせが入力されるというものです。

古いプラグインやテーマも、ハッカーによる悪用の餌食になることがあります。ボットネットワークにより、脆弱性を持つウェブサイトが検知されると、そこからマルウェアをインストールする攻撃が始まります。

マルウェアは、フィッシングリンクを経由してウェブサイトに侵入することもあります。誤ってメール内のフィッシングリンクをクリックしたり、危険なウェブサイトにアクセスしたりすると、マルウェアが侵入する可能性があります。うっかり悪意のあるソフトウェアをマシンにダウンロードしてしまうことも。そして結果的に、WordPressサーバーに悪意のあるソフトウェアが侵入してしまう可能性があります。

WordPressのマルウェアスキャンが重要な理由

前述したように、「一般的には」 ウェブサイトにマルウェアが存在することを示す何らかの兆候が見られます。しかし、必ずしもそうとは限りません。ウェブサイトが侵害されていることに気づかないこともあります。

幸い、マルウェアスキャンを実行することで、簡単に見つけることができます。特に、ハッキングされたCMSベースのサイトの83%はWordPressで構築されているため、定期的にマルウェアをスキャンすることは非常に重要です。

マルウェアのスキャンを定期的に行わないと、以下のような多くのリスクにさらされることになります。

  • SEOペナルティ:Googleは多くの場合、危険なウェブサイトを検索結果から除外します。これにより、検索エンジンの検索結果ページでの順位(およびオーガニック検索トラフィック)が低下する可能性があります。
  • ウェブサイトのパフォーマンス低下:マルウェアに感染すると、ハッカーにより、あなたのサーバーのリソースを使用した他のウェブサイトへの攻撃が行われることがあります。あなたのサイトからリソースが流用されると、ページの読み込みが遅くなるなど、パフォーマンスの問題が発生します。
  • IPアドレスの拒否:ハッカーはマルウェアを使って、あなたのウェブサイトのIPからスパムメールを送信することもできます。これにより、IPアドレスが大手メールプロバイダーからブロックされてしまう可能性があります。
  • ウェブサイト訪問者へのリスク:マルウェアは、ウェブサイトの訪問者にもセキュリティ上のリスクをもたらす可能性があります。サイト上に危険なポップアップが表示され、マルウェアがユーザーに感染することがあります。

マルウェアのスキャンだけでなく、セキュリティに対する積極的なアプローチを取ることも考えられます。セキュリティ強化の方法は、サイトセキュリティチェックシートをご覧ください。

WordPressのマルウェア検査のタイミング

積極的にWordPressサイトのマルウェア検査を行うのがおすすめです。警告が表示されてから行動するのでは「時既に遅し」の可能性があります。悪意のあるコードの存在に、長い間気づかないこともあるかもしれません。そのため、「何かがおかしい」という兆候がなくても、定期的にウェブサイトをチェックするのが得策です。

最低でも月に1回はマルウェアのチェックを行うことをお勧めします。また、ウェブサイトの構造を変更したり、新しいプラグインをインストールしたりした場合は、必ずスキャンを実行しましょう。さらに、先に述べたような兆候に気づいた時もスキャンを行うべきです。

定期的にマルウェアのスキャンを行うようリマインダーを設定するのも効果的です。例えば、毎月1日にスキャンする習慣をつけるといった具合です。

WordPressのマルウェアスキャンにおすすめのツール

WordPressサイトのマルウェアをスキャンする簡単な方法として、セキュリティプラグインが使用できます。スキャンに便利なプラグインをいくつかご紹介します。

Wordfence

Wordfenceは、マルウェア検出に便利な、使いやすいプラグインです。

セキュリティプラグイン「Wordfence」
セキュリティプラグイン「Wordfence」

プラグインをインストールすると、定期的にマルウェアを自動的に検索してくれます。また、サイトにセキュリティ上の問題があると思われる場合には、手動でスキャンを実行することもできます。

スキャンが完了すると、WordFenceにより、セキュリティ上の問題へ対処するための推奨事項が表示されます。このプラグインには無料版と有料版があります。使いやすさに定評のある、優れたプラグインです。無料版でも十分にスキャンを実行し、軽微なマルウェアの問題に対処することができます。

Sucuri

Sucuriも基本的なマルウェアスキャン機能を搭載した堅実なプラグインです。

プラグイン「Sucuri Security」
プラグイン「Sucuri Security」

Sucuri SiteCheckを使用すると、サイトのURLを入力するだけで、素早く簡単にサイトに問題がないかスキャンできます。また、WordPressサイトにプラグインをインストールすることでも、スキャン機能を利用可能です。

無料のSucuriプラグインには、セキュリティ面での問題に関するメールアラート機能や、ウェブサイト上での悪意のある活動を防ぐのに役立つファイアウォールも搭載されています。よくできたプラグインで評判も高く、特に有料プランを通して、WordPressユーザーにマルウェアからの包括的な保護を提供しています。

Kinstaをご利用中であれば、Sucuriインストールについてのこちらの説明をご覧ください。

iThemes Security

もう一つのおすすめのプラグインが、iThemes Securityです。

セキュリティプラグイン「iThemes Security」
セキュリティプラグイン「iThemes Security」

以前は「Better WP Security」という名前でしたが、現在はこの名称に変更になっています。このプラグインを使うことで、サイトをあらゆる種類の攻撃から守ることができます。30以上のセキュリティ機能が利用可能です。iThemesの無料版を使うだけでも、基本的なマルウェアスキャンを実行し、あらゆる問題を特定できます。

一方、有料版には、定期的なマルウェアスキャンとメールによるアップデートも用意されています。全体的に、サイトのセキュリティチェックを簡素化できる選択肢です。

ここまででご紹介したどのツールを使っても、WordPressサイトのマルウェアスキャンを行うことができます。以下では、具体的な方法を「Wordfence」を使ってご紹介します。

Kinstaをご利用中であれば、セキュリティプラグインの使用は必須ではありません。Kinstaのセキュリティについての誓約もあわせてご覧ください。

4つの簡単なステップでWordPressのマルウェアをスキャンする方法

WordPressサイトがハッキングされたと思われる場合は、以下の4つのステップに従ってチェックしてみてください。Wordfenceを使用してサイトやプラグインにマルウェアが入り込んでいないかスキャンする方法と、今後の攻撃からサイトを保護する方法をご紹介します。

ステップ 1. Wordfenceのインストール

まず、プラグイン「Wordfence」の無料版をインストールします。WordPressの管理画面にログインし「プラグイン」>「新規追加」と進みます。そして「Wordfence」を検索し、「Wordfence Security – Firewall & Malware Scan」の下にある「今すぐインストール」をクリックします。

プラグイン「Wordfence」をインストールする
プラグイン「Wordfence」をインストールする

プラグインがインストールできたら、「有効化」をクリックします。プロンプト(利用規約に同意し、メールアドレスを指定してインストールを完了)が表示される場合があります。

ステップ 2. WordPressサイトのバックアップ

先に進む前に、ウェブサイトのバックアップを取ることをおすすめします。それでは、次のステップで、マルウェアに感染している可能性のあるファイルを削除していきます。

問題が発生した場合、重要なデータが誤って削除され、ウェブサイトに重大な被害が出る可能性があります。まずウェブサイトをバックアップしておけば、予期せぬ事態が発生した時でも元に戻すことができます。

ウェブサイトをバックアップする簡単な方法として、無料のUpdraftPlusプラグインが利用できます。

WordPressのバックアッププラグイン「UpdraftPlus」
WordPressのバックアッププラグイン「UpdraftPlus」

Wordfenceと同じ手順でインストールし有効化します。そして「設定」>「UpdraftPlus Backups」と進み、「今すぐバックアップ」をクリックします。

「今すぐバックアップ」ボタンをクリックする
「今すぐバックアップ」ボタンをクリックする

あとはプロセスが完了するのを待つだけです。後のステップで何か問題が発生した場合、同じページからバックアップデータを復元することができます。

ステップ 3. スキャンを実行してマルウェアファイルを削除する

次に、マルウェアのスキャンを実行します。Wordfenceによりサイトが毎日自動でスキャンされますが、手動で実行することもできます。

そうするには、WordPressの管理画面から「Wordfence」>「Scan」に移動します。そして、「Start New Scan」をクリックします。

Wordfenceを使用してスキャンを開始する
Wordfenceを使用してスキャンを開始する

マルウェアやファイルの変更などがないか、ウェブサイトの検索が始まります。このプロセスが完了するまでにはしばらく時間がかかります。スキャン画面のタイムラインで進行状況を確認可能です。

スキャンが完了すると、詳しい内訳が表示されます。

マルウェアスキャンの結果
マルウェアスキャンの結果

このログからは、検出されたすべてのセキュリティの問題が確認できます。問題の深刻度に応じて、優先度が高、中、低のいずれかにラベル付けされます。「unknown file in WordPress core(WordPressコアの不明なファイル)」と表示された場合は、マルウェアが存在する可能性があります。

幸いなことに、Wordfenceを使ってこのようなファイルを簡単に削除できます。ログの上にある「Delete All Deletable Files」をクリックするだけでOKです。すると、警告メッセージが表示されるはずです。

すべてのファイルを削除する警告メッセージが表示される
すべてのファイルを削除する警告メッセージが表示される

この警告メッセージをよく読んでください。検出されたファイルがマルウェアではなく、ウェブサイトを正常に機能させるために不可欠なものだった可能性があります。これを考えて(前のステップで触れたとおり)サイトのバックアップを作成するようにしましょう。

検出されたファイルが悪意のあるソフトウェアであると思われる場合には、そのまま、「Delete files」をクリックします。これでウェブサイトからすべてのマルウェアが削除されるはずです。これで問題が発生した場合は、バックアップから以前のバージョンのサイトを復元することができます。

マルウェアの処理が完了したら、スキャンで検出されたその他の問題にも対処しましょう。例えば、古くなったプラグインなどです。

ステップ 4. サイトを保護する措置を講じる

悪意のあるファイルを削除したら、サイトを保護するために、さらにいくつかの手順を踏みましょう。

  • パスワードを変更する:サイトにマルウェアが侵入した場合、パスワードが漏洩している可能性が考えられます。そのため、ウェブサイト上のパスワードはもちろん、オンラインで使用しているその他のパスワードもすべて変更するのがベストです。
  • 二要素認証(2FA)を設定する:ウェブサイトに2FAを設定することで、セキュリティのレイヤーを追加できます。パスワードが漏洩しても、攻撃者は追加のチェックを完了させなければ、それ以上先に進むことができなくなります。
  • ユーザープロファイルの監査:マルウェアによりウェブサイトに新しいユーザーロールが作成された可能性があります。ユーザープロフィールをチェックし、データベースから存在しないはずの(存在すべきでない)ものを削除することで対処できます。
  • 定期的なセキュリティチェックを実施する:Wordfenceの設定を切り替えることで、定期的にマルウェアをチェックすることができます。また、サイトの守りを固めるさらなる対策も必要です。
  • サイトを再度バックアップする:マルウェアを駆除したら、ウェブサイトの新しいバックアップを作成しましょう。こうすることで、将来何か問題が発生したときに、いつでもマルウェアのないクリーンなバージョンに復元することができます。

以上の手順を踏むのは大変なことのように思えるかもしれませんが、これを丁寧に実行するだけの価値はあります。ウェブサイトにおける今後のマルウェア感染を防ぎ、確実に管理していくために重要です。

まとめ

悪意のある行為やマルウェアは、WordPressユーザーにとって油断のならない存在です。しかし、定期的にスキャンし、厳格なサイトセキュリティの手順に従うことで、サイトを安全な状態に保つことができます。

今回の記事では、WordPressサイトでマルウェアがないかスキャンを行い、悪意のある活動からサイトを保護する方法を簡単にご紹介しました。

  1. Wordfenceセキュリティプラグインをインストール
  2. WordPressサイトをバックアップ
  3. スキャンを実行し、マルウェアのファイルを削除
  4. サイトのセキュリティ強化策を徹底

WordPressサイトのマルウェアのスキャンについてご質問がありますか?下のコメント欄でお聞かせください。

Jeremy Holcombe Kinsta

Content & Marketing Editor at Kinsta, WordPress Web Developer, and Content Writer. Outside of all things WordPress, I enjoy the beach, golf, and movies. I also have tall people problems ;).