セキュリティ対策をしているのに感染？―「偽装セキュリティプラグイン」によるWordPressサイトの持続的なマルウェア被害

「サイトに変なリダイレクトが起きている」
「管理画面には異常がないのに、Googleから危険サイト扱いされてしまった」
「マルウェアを削除しても、しばらくすると復活している」

WordPressを運営していると、こうした不可解な現象に直面することがあります。
そして今、特に注意が必要なのが「偽装セキュリティプラグイン」による持続的な感染です。

表向きには「セキュリティ強化」や「高速化支援」をうたうこれらのファイルですが、実際は悪意あるコードを含むマルウェアであることが多く、厄介なのは見た目が正規プラグインそっくりである点です。

「セキュリティのつもり」が落とし穴に

このマルウェアは、たとえば以下のようなファイル名で侵入します（あくまでも一例ですのでこれがすべてではありません）。

wp-antymalwary-bot.php

wp-performance-booster.php

これらはwp-content/plugins/ディレクトリに設置され、場合によってはmu-pluginsという「管理画面に表示されない専用ディレクトリ」にも隠されます。インストールされると、次のような被害が報告されています。

・サイト訪問者が外部の詐欺ページへリダイレクトされる
・サイト管理者の操作を監視・ハイジャックされる
・削除しても、wp-cron.phpなどの自動処理を通じて再感染する

特に厄介なのは、管理画面上では「正常」に見える点です。セキュリティプラグインが入っていても、検出をすり抜ける設計になっているケースも確認されています。

なぜ発見しづらいのか？

この手の偽装マルウェアが問題になるのは、その巧妙な隠蔽性にあります。

・ファイル名が一見“信頼できそう”に見える
・WordPress標準のプラグイン一覧には表示されない構造
・外部からのアクセスやGooglebotにのみ挙動を変える（クローク）
・PHPコードが難読化されており、何をしているか判別しづらい

さらに悪質なケースでは、Google検索経由のアクセスだけを別サイトに飛ばすなどのターゲティングも行われており、管理者が通常のブラウザで確認しても問題に気付きません。

知っておきたい感染の兆候チェックリスト

もし以下にひとつでも該当するなら、マルウェア感染を疑う必要があります。

・管理しているWordPressサイトがGoogle検索結果からブロックされた
・WordPress管理画面には表示されない「不明なPHPファイル」がFTPに存在
・何度削除しても、不正なファイルが一定時間後に復活する
・mu-pluginsフォルダを見たことがない、確認していない
・サイトの動作が明らかに遅くなった、または一部表示が崩れる

対策：いま見直すべき5つのポイント

感染を防ぐには、セキュリティプラグインだけに頼らず、運用のリテラシーを上げていくことが重要です。

特に「mu-plugins」ディレクトリは、WordPressが自動で読み込む場所であり、意図せず悪用されることも多いため注意が必要です。

感染後の対応：復旧には“根本除去”が必要

終わりに：見えない脅威への備えを

「まさか自分のサイトが…」という油断が、感染を招きます。
マルウェアの侵入は、目に見えない静かなところから始まり、いつしか訪問者の信頼や検索順位、さらにはビジネスそのものに影響を及ぼします。

こうした脅威に備えるには、「知ること」と「習慣化」がなによりの武器です。

今一度、セキュリティ対策を見直してみてください。すでに異変に気づいている場合は、手遅れになる前に専門家の力を借りるのも選択肢の一つです。WordPress救急隊では、感染状況の診断からマルウェアの完全除去、再発防止までをワンストップで対応しています。夜間（21時まで受付対応）、土日祭日の緊急の対応（年中無休営業）はもちろん、長期的なセキュリティ対策の見直しもご相談可能です。

「何から手を付けていいかわからない」「他社で駆除したのにまた再感染した」、そんな時こそ、私たちにお任せください。