MENU
Xserverが今なら最大50%OFF! 2022年11月25日(金)12:00まで
信頼性・安定性・柔軟性を兼ね備えたレンタルサーバーを徹底比較
  1. ホーム
  2. セキュリティ対策
  3. サイトがマルウェア感染!安全確実なWordPressクリアインストール方法を紹介

サイトがマルウェア感染!安全確実なWordPressクリアインストール方法を紹介

セキュリティ対策

この記事は約8分で読めます。
本文は約4956文字です

マルウェア感染してサイトの復旧にお困りでしょうか?

マルウェア感染からのサイトの復旧時にWordpressを再インストールすれば感染ファイルが綺麗に無くなると思っているかもしれません。

しかし、それは間違いです。

WordPressの再インストールは、上書きインストールになります。侵入者に改竄されたファイルは上書きされるかもしれませんが、追加された危険なファイルはそのまま残ります。

では、不要なファイルを削除しながらWordpressをクリアインストールするにはどうしたらよいでしょうか?

WordPressは、設定や記事などがデータベースに保存されていているシステムです。例え、ファイルを消しても情報(設定や記事)は残ります。ただし、メディアライブラリやカスタマイズしたテーマファイルなどのユーザーファイルは削除すると元に戻せません。

この記事では、Wordpressサイトが改竄された際にWordpressを簡単になクリアインストール方法や手順を具体的にお伝えします。

こんな疑問にお答えします!
  • WordPressを簡単・確実にクリアインストールする方法は?
  • クリアインストール時にバックアップが必要なファイルは?
  • どのマルウェアスキャナーがおススメ?

WordPressのファイルで消して大丈夫なもの、バックアップが必要なものは?

WordPressは大きく 2つの部分に分けられます。

データベースとファイルです。

データベースは記事や設定などのデータが保存されていますが、Wordpressを再インストールしても消えませんので特に何もしなくて大丈夫です。

ファイルについては、以下のような構成になっています。

WordPressのファイル構成
  • WordPress コアインストールファイル
  • WordPress プラグイン
  • WordPress テーマ
  • 画像とファイル
  • JavaScript、PHP スクリプト、その他のプログラムファイル
  • 追加のファイルおよび静的な Web ページ

このなかで、消してはいけないものは、Wordpressインストール後に自分で追加した画像やファイルになります。消してしまうと再度作らないといけなくなります。

以下の3つはバックアップが必要になります。この3つ以外はWordpressクリアインストール時に上書きされますので、削除してしまっても復活できます。

バックアップが必要なファイル
  • .htaccess
  • wp-config.php
  • wp-content以下(wp-contentディレクトリ一括バックアップ)
WordPressファイルのバックアップ

WordPressクリアインストールの手順

WordPressクリアインストールの手順を説明していきます。ファイルの削除を行いますので、作業前にバックアップがあることを確認します。

殆どのサーバーではサーバーにバックアップ機能がありますので、バックアップが有効でデータが残っているのを確認してから作業してください。

この作業で一番大事なのはバックアップです。バックアップがあれば何度でもやり直しができます。

STEP

wp-config.phpと.htaccessをバックアップ

バックアップ方法は、FTPを使う場合とファイルマネージャーを使う2通りの方法をご紹介します。

サーバーにファイルマネージャーがある場合は、FTPを使うよりも簡単なのでおススメです。

ファイルマネージャーが使えない場合(FTPを使用)

FilezillaffftpなどのFTPクライアントで、wp-config.phpと.htaccessをダウンロードします。

Filezillaの使い方は以下のリンクが参考になります。

FileZilla の使い方

ファイルマネージャーが使える場合

wp-config.phpを別名で同じ場所にコピーします。

例:wp-config_bak.php等の名称でコピーします。

.htaccessも別名で同じ場所にコピーします。

例:.htaccess_bak等の名称でコピーします。

コピーしたファイルは上書きされないのでバックアップしているのと同じになります。

STEP

wp-contentをバックアップ

ファイルマネージャーが使えない場合(FTPを使用)

FilezillaやffftpなどのFTPクライアントで、wp-contentをディレクトリごとダウンロードします。

ファイルマネージャーが使える場合

wp-contentを別名で同じ場所にコピーします。

例:wp-content_bak等の名称でコピーします。

STEP

wp-adminとwp-includesを削除

wp-adminとwp-includesに感染ファイルが追加されることが多いので、再インストールしても上書きされずに残ってしまいます。

感染ファイルも含めて完全に削除したいので、wp-adminとwp-includeは丸ごと削除します。

再インストールすれば復活しますので心配はありません。

削除方法については、FTPでもファイルマネージャーでも同じで、wp-adminとwp-includesディレクトリを削除すれば大丈夫です。

後で使いますので、Wordpressのバージョンをwp-includes/version.phpの中身で確認しておくことをおススメします。

STEP

WordPressを再インストールする

WordPressの再インストール手順を説明します。

サーバーのコントロールパネルから再インストールはしないでください。予期せずファイルが削除される可能性があります。

WordPress再インストールはPC等からサーバにファイルをアップロードする方法で行います。

④-1 Wordpressのファイル一式をダウンロードします

WordPressを以下からダウンロードします。

最新版のWordPressのダウンロードは、「WordPress 日本語サイト」からおこないます。

お使いのバージョンが最新ではない場合、ご利用のバージョンと同じバージョンをダウンロードする方が安全です。

過去のバージョンはこちらのリンクからダウンロードできます。

WordPressダウンロードサイト
Release Archive Releases This is an archive of every release we’ve done that we have a record of.None of these are safe to use, except the latest in the series, which is active…

もし、Wordpressのバージョンがわからなくなってしまったときは、wp-includes/version.phpで確認できます。

④-2 Wordpress圧縮ファイルを展開します

ダウンロードしたWordPressのzipファイルを解凍します。

④-3 解凍したWordpressをサーバーにアップロードします

FTPやファイルマネージャーを使って、解凍したWordpressファイル一式をサーバーにアップロードします。

サーバーにある既存のファイルはアップロードしたファイルですべて上書きします。

STEP

バックアップしたwp-config.phpと.htaccessを復元する

バックアップしたwp-config.phpと.htaccessをサーバーに戻します

FTPを使う場合

ローカルにあるwp-config.phpと.htaccessをサーバーにアップロードします。

サーバーにあるファイルを上書きします。

ファイルマネージャーを使う場合

  1. サーバーにあるwp-config.phpを削除
  2. サーバーにあるwp-config.phpのバックアップファイル(wp-config_bak.php)をwp-config.phpにリネームする
  3. サーバーにある.htaccessを削除
  4. サーバーにある.htaccessのバックアップファイル(.htaccess_bak)を.htaccessにリネームする
STEP

バックアップしたwp-contentを復元する

バックアップしたwp-contentをサーバーに戻します。

FTPを使う場合

ローカルにあるwp-contentをサーバーにアップロードします。

転送時のファイル名文字コートはUTF-8にしてください。
サーバーにあるファイルを上書きします。

ファイルマネージャーを使う場合

  1. サーバーにあるwp-contentを削除
  2. サーバーにあるwp-contentのバックアップファイル(wp-content_bak)をwp-contentにリネームする
STEP

サイトを表示して確認する

クリアインストールが完了しました。

サイトを表示させてみて正常に表示できればクリアインストールは成功です。

wp-content領域のマルウェア感染確認はプラグインで行う

wp-contentはバックアップからそのまま戻してますので、感染ファイルが残っている可能性があります。wp-contentに感染ファイルがあるかどうかはマルウェアスキャン機能があるプラグインを使用して検出します。

wp-content以下のファイルはユーザーファイルですので、感染が見つかった場合にはご自身で感染かどうか、感染している場合は削除可能かどうか?の判断はできると思います。

マルウェアスキャンができるプラグイン

マルウェアスキャナープラグイン

こちらは無料プランでは最新定義ファイルが使えない、マルウェア感染ファイルが見つかった時に具体的なファイル名が表示されなど制限はありますが、殆どのケースで無料で十分使えます。

日本語なのが最大のメリットでしょう。

【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除] –…

WordFence

WordFenceもマルウェアスキャンができます。無料版では有料版より定義ファイルが古くなりますが、マルウェアスキャナープラグインよりは高性能です。

高性能すぎるので、プラグインを入れると重くなる傾向があります。また、海外のプラグインなので日本語の情報が少ないのがネック。

Wordfence Security – Firewall, Malware Scan, and Login Security
あわせて読みたい
2023年 最強のWordPressセキュリティプラグインはこの2つ WordPressサイトのハッキングは世界中で当たり前のように発生しています。 WordPressコアの開発者のスキルはとても高いので、Wordpressコアのコードの品質が低い問題と…

マルウェアに感染しないためのセキュリティ対策

マルウェア感染するのは海外からの不正アクセスが原因です。

マルェア感染を除去してサーバーが復活したら、不要な国からのサイトのアクセスは禁止にした方がよいでしょう。

あわせて読みたい
EU圏や怪しい国からのサイトアクセスを禁止・遮断する簡単な方法 ご自身のサイトに中国やロシアなど怪しげな国からのアクセスは無いでしょうか? 怪しげな国からのアクセスは、セキュリティホールを狙いハッキングするためのものかもし…
あわせて読みたい
最強のサーバー不正アクセス対策とは?日本のサイトだからできる方法です 海外のハッカーから日本のサイトは狙われています。 侵入者は中国やロシアなどからやってきて、日本のサイトをハッキングしようと昼夜を問わず、活動しています。 とい…

まとめ

この記事では、Wordpressのクリアインストール手順をお伝えしました。この記事の手順通りに行えばマルウェア感染したWordpressのクリアインストールができます。

ただし、クリアインストールする前に全体のバックアップを取るのを忘れないようにお願いします。

殆どのサーバーではサーバーにバックアップ機能がありますので、バックアップが有効でデータが残っているのを確認してから作業してください。

WordPressを簡単・確実にクリアインストールする方法は?

FTPかファイルマネージャーを使用します。

コントロールパネルのWordpress簡単インストールは使用しないでください。

コントロールパネルのWordpress簡単インストールを使用しない理由は?

バックアップが必要なファイルまで消される可能性があるためです。

バックアップが必要なファイルは?
  • .htaccess
  • wp-config.php
  • wp-content以下(wp-contentディレクトリ一括バックアップ)
どのマルウェアスキャナーがおススメ?

Wordfencenか日本語対応のマルウェアスキャナープラグインを使用しましょう

セキュリティ対策
参考なったらシェアお願いします!
コメントを閉じる

コメント

コメントする

コメントは日本語で入力してください。(スパム対策)

CAPTCHA

この記事の内容