Xserverが今なら最大50%OFF! 2022年11月25日(金)12:00まで

サイトがマルウェア感染!安全確実なWordPressクリアインストール方法を紹介

この記事は約8分で読めます。
本文は約4933文字です

マルウェア感染してサイトの復旧にお困りでしょうか?

マルウェア感染からのサイトの復旧時にWordpressを再インストールすれば感染ファイルが綺麗に無くなると思っているかもしれません。

しかし、それは間違いです。

WordPressの再インストールは、上書きインストールになりますから、侵入者に改竄されたファイルは上書きされるかもしれませんが、追加された危険なファイルはそのまま残ります。

では、Wordpressをクリアインストールするにはどうしたらよいでしょうか?

WordPressは、設定や記事などがデータベースに保存されていているシステムです。例え、ファイルを消しても情報(設定や記事)は残ります。ただし、メディアライブラリやカスタマイズしたテーマファイルなどのユーザーファイルは削除すると元に戻せません。

この記事では、Wordpressサイトが改竄された際にWordpressを簡単になクリアインストール方法や手順を具体的にお伝えします。

こんな疑問にお答えします!

  • WordPressを簡単・確実にクリアインストールする方法は?
  • クリアインストール時にバックアップが必要なファイルは?
  • どのマルウェアスキャナーがおススメ?
この記事を書いた人
サーバーソムリエのアバター サーバーソムリエ レンタルサーバー鑑定士

国内のあらゆるレンタルサーバーを使用、管理した経験があります。サーバー選びからWordpressを使ったサイト運営まで丸っとお任せください。あなた様のご希望にそった本当に使える最適なサーバーをご紹介します。

目次クリックできる

WordPressのファイルで消して大丈夫なもの、バックアップが必要なものは?

WordPressは大きく 2つの部分に分けられます。データベースとファイルです。

データベースは記事や設定などのデータが保存されていますが、Wordpressを再インストールしても消えませんので特に何もしなくて大丈夫です。

ファイルについては、以下のような構成になっています。

WordPressのファイル構成
  • WordPress コアインストールファイル
  • WordPress プラグイン
  • WordPress テーマ
  • 画像とファイル
  • JavaScript、PHP スクリプト、その他のプログラムファイル
  • 追加のファイルおよび静的な Web ページ

このなかで、消してはいけないものは、Wordpressインストール後に自分で追加した画像やファイルになります。消してしまうと再度作らないといけなくなります。

以下の3つはバックアップが必要になります。この3つ以外はWordpressクリアインストール時に上書きされますので、削除してしまっても復活できます。

バックアップが必要なファイル
  • .htaccess
  • wp-config.php
  • wp-content以下(wp-contentディレクトリ一括バックアップ)

WordPressクリアインストールの手順

WordPressクリアインストールの手順を説明していきます。ファイルの削除を行いますので、作業前にバックアップがあることを確認します。

殆どのサーバーではサーバーにバックアップ機能がありますので、バックアップが有効でデータが残っているのを確認してから作業してください。

この作業で一番大事なのはバックアップです。バックアップがあれば何度でもやり直しができます。

①wp-config.phpと.htaccessをバックアップ

バックアップ方法は、FTPを使う場合とファイルマネージャーを使う2通りの方法をご紹介します。

サーバーにファイルマネージャーがある場合は、FTPを使うよりも簡単なのでおススメです。

ファイルマネージャーが使えない場合(FTPを使用)

FilezillaffftpなどのFTPクライアントで、wp-config.phpと.htaccessをダウンロードします。

Filezillaの使い方は以下のリンクが参考になります。

ファイルマネージャーが使える場合

wp-config.phpを別名で同じ場所にコピーします。

例:wp-config_bak.php等の名称でコピーします。

.htaccessも別名で同じ場所にコピーします。

例:.htaccess_bak等の名称でコピーします。

コピーしたファイルは上書きされないのでバックアップしているのと同じになります。

②wp-contentをバックアップ

ファイルマネージャーが使えない場合(FTPを使用)

FilezillaやffftpなどのFTPクライアントで、wp-contentをディレクトリごとダウンロードします。

ファイルマネージャーが使える場合

wp-contentを別名で同じ場所にコピーします。

例:wp-content_bak等の名称でコピーします。

③wp-adminとwp-includesを削除

wp-adminとwp-includesに感染ファイルが追加されることが多いので、再インストールしても上書きされずに残ってしまいます。

感染ファイルも含めて完全に削除したいので、wp-adminとwp-includeは丸ごと削除します。

再インストールすれば復活しますので心配はありません。

削除方法については、FTPでもファイルマネージャーでも同じで、wp-adminとwp-includesディレクトリを削除すれば大丈夫です。

後で使いますので、Wordpressのバージョンをwp-includes/version.phpの中身で確認しておくことをおススメします。

④Wordpressを再インストールする

WordPressの再インストール手順を説明します。

サーバーのコントロールパネルから再インストールはしないでください。予期せずファイルが削除される可能性があります。

WordPress再インストールはPC等からサーバにファイルをアップロードする方法で行います。

④-1 Wordpressのファイル一式をダウンロードします

WordPressを以下からダウンロードします。

最新版のWordPressのダウンロードは、「WordPress 日本語サイト」からおこないます。

お使いのバージョンが最新ではない場合、ご利用のバージョンと同じバージョンをダウンロードする方が安全です。

過去のバージョンはこちらのリンクからダウンロードできます。

もし、Wordpressのバージョンがわからなくなってしまったときは、wp-includes/version.phpで確認できます。

④-2 Wordpress圧縮ファイルを展開します

ダウンロードしたWordPressのzipファイルを解凍します。

④-3 解凍したWordpressをサーバーにアップロードします

FTPやファイルマネージャーを使って、解凍したWordpressファイル一式をサーバーにアップロードします。

サーバーにある既存のファイルはアップロードしたファイルですべて上書きします。

⑤バックアップしたwp-config.phpと.htaccessを復元する

バックアップしたwp-config.phpと.htaccessをサーバーに戻します

FTPを使う場合

ローカルにあるwp-config.phpと.htaccessをサーバーにアップロードします。

サーバーにあるファイルを上書きします。

ファイルマネージャーを使う場合

  1. サーバーにあるwp-config.phpを削除
  2. サーバーにあるwp-config.phpのバックアップファイル(wp-config_bak.php)をwp-config.phpにリネームする
  3. サーバーにある.htaccessを削除
  4. サーバーにある.htaccessのバックアップファイル(.htaccess_bak)を.htaccessにリネームする

⑥バックアップしたwp-contentを復元する

バックアップしたwp-contentをサーバーに戻します。

FTPを使う場合

ローカルにあるwp-contentをサーバーにアップロードします。

転送時のファイル名文字コートはUTF-8にしてください。
サーバーにあるファイルを上書きします。

ファイルマネージャーを使う場合

  1. サーバーにあるwp-contentを削除
  2. サーバーにあるwp-contentのバックアップファイル(wp-content_bak)をwp-contentにリネームする

⑦サイトを表示して確認する

クリアインストールが完了しました。

サイトを表示させてみて正常に表示できればクリアインストールは成功です。

wp-content領域のマルウェア感染確認はプラグインで行う

wp-contentはバックアップからそのまま戻してますので、感染ファイルが残っている可能性があります。wp-contentに感染ファイルがあるかどうかはマルウェアスキャン機能があるプラグインを使用して検出します。

wp-content以下のファイルはユーザーファイルですので、感染が見つかった場合にはご自身で感染かどうか、感染している場合は削除可能かどうか?の判断はできると思います。

マルウェアスキャンができるプラグイン

マルウェアスキャナープラグイン

こちらは無料プランでは最新定義ファイルが使えない、マルウェア感染ファイルが見つかった時に具体的なファイル名が表示されなど制限はありますが、殆どのケースで無料で十分使えます。

日本語なのが最大のメリットでしょう。

WordFence

WordFenceもマルウェアスキャンができます。無料版では有料版より定義ファイルが古くなりますが、マルウェアスキャナープラグインよりは高性能です。

高性能すぎるので、プラグインを入れると重くなる傾向があります。また、海外のプラグインなので日本語の情報が少ないのがネック。

マルウェアに感染しないためのセキュリティ対策

マルウェア感染するのは海外からの不正アクセスが原因です。

マルェア感染を除去してサーバーが復活したら、不要な国からのサイトのアクセスは禁止にした方がよいでしょう。

まとめ

この記事では、Wordpressのクリアインストール手順をお伝えしました。この記事の手順通りに行えばマルウェア感染したWordpressのクリアインストールができます。

ただし、クリアインストールする前に全体のバックアップを取るのを忘れないようにお願いします。

殆どのサーバーではサーバーにバックアップ機能がありますので、バックアップが有効でデータが残っているのを確認してから作業してください。

WordPressを簡単・確実にクリアインストールする方法は?

FTPかファイルマネージャーを使用します。

コントロールパネルのWordpress簡単インストールは使用しないでください。

コントロールパネルのWordpress簡単インストールを使用しない理由は?

バックアップが必要なファイルまで消される可能性があるためです。

バックアップが必要なファイルは?
  • .htaccess
  • wp-config.php
  • wp-content以下(wp-contentディレクトリ一括バックアップ)
どのマルウェアスキャナーがおススメ?

Wordfencenか日本語対応のマルウェアスキャナープラグインを使用しましょう

この記事が気に入ったら
いいねしてね!

参考なったらシェアお願いします!

コメント

コメントする

コメントは日本語で入力してください。(スパム対策)

目次<small>クリックできる</small>