2025年11月18日

長期間更新されていないプラグインの取り扱い方

プラグインとテーマの脆弱性

2年放置したプラグインが招いた悪夢

3年ほど前、あるクライアントから「サイトにアクセスすると変なページに飛ばされる」という連絡があった。すぐにサーバーにログインして調べてみると、サイトが完全に改ざんされていたんだ。トップページに不正なスクリプトが埋め込まれていて、訪問者を詐欺サイトに誘導するようになっていた。

原因を調べたら、2年以上更新されていないギャラリープラグインの脆弱性だった。そのプラグインは、当時は人気があったけど、開発者が更新を止めてしまっていたんだ。攻撃者はその脆弱性を突いて、サイトに侵入したらしい。

「まだ動いているから大丈夫」って思っていたクライアントの判断が、結果的に大きな被害を生んでしまった。サイトの復旧に丸2日かかったし、Googleからも一時的にブラックリスト入りしてしまった。アクセス数も信頼も失って、元に戻るまで数ヶ月かかったんだ。

この記事では、更新されていないプラグインの危険性と、具体的な対処方法を紹介する。「今は問題なく動いているから」と放置していると、いつか必ずトラブルが起きる。そうなる前に、正しい対処をしておこう。

なぜ更新されていないプラグインが危険なのか

脆弱性が放置されたままになる

プラグインの更新には、新機能の追加だけじゃなく、セキュリティ上の穴を塞ぐ修正も含まれている。更新が止まったプラグインは、新しく見つかった脆弱性が修正されないまま放置される。

攻撃者は、古いプラグインの脆弱性をデータベースのように管理していて、それを自動的に探すツールを使っている。更新されていないプラグインを使っているサイトは、玄関に鍵をかけずに出かけているようなものなんだ。

実際、WordPressサイトへの攻撃の大半は、古いプラグインの脆弱性を狙ったものだ。WordPress本体よりも、プラグインの方が格段に危険なんだよね。これ、覚えておいてほしい。

WordPress本体の更新に対応できなくなる

WordPressは定期的にアップデートされる。新しいバージョンでは、PHPの要件が変わったり、内部の仕組みが改善されたりする。更新されていないプラグインは、新しいWordPressに対応していないことが多いんだ。

最初は問題なく動いていても、WordPress本体を更新したタイミングで突然エラーが出る。画面が真っ白になったり、サイト全体が動かなくなったりすることもある。そうなってから慌てても、もう遅いんだよね。

僕が見てきたケースでは、WordPress5.5にアップデートした途端、古いお問い合わせフォームプラグインが動かなくなって、数週間問い合わせを受け取れなかった企業もあった。機会損失は計り知れない。

サポートが受けられない

プラグインの開発者が更新を止めているということは、サポートも止まっているということだ。バグを見つけても報告する場所がないし、使い方が分からなくても質問できない。

万が一トラブルが起きても、自力で解決するしかない。「このプラグインで何かあっても、誰も助けてくれない」という状態で使い続けるのは、かなりリスクが高いんだよね。

更新されていないプラグインを見つける方法

WordPress管理画面で確認する

一番手っ取り早いのは、WordPress管理画面の「プラグイン」ページを見ることだ。

管理画面にログインして、「プラグイン」→「インストール済みプラグイン」を開くと、各プラグインの情報が表示される。更新が必要なプラグインには「更新があります」と表示されるから、すぐ分かる。

でも、注意してほしいのは、「更新通知がない = 安全」じゃないってことなんだ。開発者が更新を止めてしまったプラグインは、更新通知すら出ない。最終更新日を確認する必要があるんだよね。

各プラグインの詳細情報を確認する

プラグインの名前をクリックすると、WordPress.orgのプラグインページに飛べる。そこで以下の情報を確認しよう：

チェックポイント：

最終更新日

1年以上更新されていなければ要注意
2年以上更新されていなければ危険信号

WordPressバージョン対応

「Tested up to」で対応しているWordPressバージョンを確認
現在のWordPressバージョンより2つ以上古ければ問題あり

有効インストール数

急激に減っていないか確認
減っているなら、みんな離れ始めている証拠

サポートフォーラムの活動

最近の投稿に返信があるか
開発者が応答していなければ、サポート停止の可能性

WPScanなどのツールを使う

より正確に調べたいなら、WPScanという脆弱性スキャンツールを使う方法もある。これは、プラグインの既知の脆弱性をデータベースと照合してくれるツールだ。

# WPScanのインストール(Rubyが必要)
$ gem install wpscan

# 自分のサイトをスキャン
$ wpscan --url https://example.com --enumerate vp

# APIトークンを使ってより詳細にスキャン
$ wpscan --url https://example.com --api-token YOUR_TOKEN --enumerate vp

WPScanは、検出されたプラグインの脆弱性情報を表示してくれる。「High」や「Critical」とマークされたものがあれば、即座に対処が必要だ。

初心者には少しハードルが高いかもしれないけど、サイトのセキュリティを真剣に考えるなら、使い方を覚えておいて損はない。

プラグイン管理プラグインを使う

「WP Plugin Info」や「Plugin Inspector」のようなプラグインを使うと、管理画面から更新状況を一覧で確認できる。

これらのプラグインは、各プラグインの最終更新日やWordPress対応バージョンを分かりやすく表示してくれる。技術的な知識がなくても、危険なプラグインを見つけやすいんだ。

ただし、プラグインでプラグインを管理するというのは、若干本末転倒な感じもするよね。それ自体が更新されなくなったら意味がないからね。基本は自分の目で確認することが大事なんだ。

代替プラグインの探し方と選び方

同じ機能を持つプラグインをリサーチする

更新されていないプラグインを見つけたら、まずは代替プラグインを探そう。WordPress.orgで「Plugins」セクションを開いて、同じ機能を持つプラグインを検索する。

例えば、古いギャラリープラグインを使っているなら、「gallery」で検索してみる。すると、いくつも候補が出てくるはずだ。

検索のコツ：

英語で検索する（情報量が多い）
機能を具体的に入れる（「contact form」「gallery slider」など）
「best wordpress plugin for ○○」でGoogle検索する

評価基準を理解する

代替プラグインを選ぶ時は、以下の基準で評価するといい：

1. 最終更新日

直近3ヶ月以内に更新されているのが理想。少なくとも半年以内には更新されているプラグインを選ぼう。開発者が積極的にメンテナンスしている証拠だ。

2. 有効インストール数

10万以上あれば安心感がある。多くの人が使っているということは、バグや脆弱性も見つかりやすいし、修正も早い。

ただし、インストール数が少なくても優れたプラグインはある。特に新しいプラグインは、まだ認知されていないだけのこともあるんだ。

3. 評価とレビュー

星4つ以上が目安。ただし、評価数も見ること。5つ星でも評価が10件しかないより、4.5つ星で1000件の評価がある方が信頼できる。

レビューの内容も読んでみよう。「更新がない」「サポートが返ってこない」というレビューが多ければ、避けた方がいい。

4. WordPress対応バージョン

「Tested up to」が最新バージョン、もしくは一つ前のバージョンに対応していること。これは開発者が最新のWordPressでテストしているという証拠だ。

5. PHPバージョン対応

PHP 7.4以上に対応していることを確認しよう。古いPHPバージョンにしか対応していないプラグインは、将来的に使えなくなる可能性が高い。

6. サポートフォーラムの活動

開発者が質問に答えているか、バグ報告に対応しているか。直近1ヶ月の投稿を見て、開発者の返信があれば活発な証拠だ。

有料プラグインも検討する

無料プラグインだけじゃなく、有料プラグインも視野に入れよう。有料プラグインは、ビジネスとして運営されているから、サポートや更新が継続される可能性が高いんだ。

有料プラグインのメリット：

継続的な更新とサポート
セキュリティ対応が迅速
高度な機能
ドキュメントが充実

購入前のチェックポイント：

ライセンスの種類（サイト数制限があるか）
更新とサポートの期間（1年間だけか、永続的か）
返金ポリシーの有無

僕の経験では、重要な機能については有料プラグインに投資する価値は十分ある。年間50ドル程度のコストで、安全性と安心感が買えるなら安いものだと思う。

テスト環境で動作確認する

代替プラグインを見つけたら、いきなり本番サイトに入れちゃダメだ。必ずテスト環境で動作確認しよう。

テスト環境の作り方：

# ローカル環境を構築(Local by Flywheel など)
# または、サーバー上にステージング環境を作る

# WordPressとプラグインを本番と同じ構成にする
# 新しいプラグインをインストールして動作確認
# 問題なければ本番に適用

ステージング環境を提供しているレンタルサーバーもある。SiteGroundやKinstaなどは、ボタン一つでステージング環境を作れて便利だ。

テストでは、以下を確認する：

プラグインが正常にインストールできるか
既存のプラグインと競合しないか
サイトの表示が崩れないか
必要な機能がすべて動作するか
動作が重くないか

削除・無効化の判断と実施方法

削除すべきか無効化で留めるか

更新されていないプラグインを見つけたら、まず判断すべきは「削除するか、無効化に留めるか」だ。

即座に削除すべきケース：

既知の脆弱性がある
2年以上更新されていない
まったく使っていない機能
代替プラグインが見つかった

無効化に留めるケース：

代替がまだ見つかっていない
削除するとデータが失われる可能性がある
移行作業に時間が必要

無効化しておけば、プラグインのコードは実行されないから、脆弱性を突かれるリスクは減る。でも、ファイルはサーバーに残っているから、完全に安全とは言えないんだよね。

バックアップを必ず取る

プラグインを削除する前に、必ずバックアップを取ろう。万が一、削除したことで問題が起きても、すぐに元に戻せるからね。

バックアップの手順：

# データベースのバックアップ
$ wp db export backup_$(date +%Y%m%d).sql

# ファイルのバックアップ
$ tar -czf wp_backup_$(date +%Y%m%d).tar.gz /path/to/wordpress/

または、バックアッププラグイン（UpdraftPlus、BackWPupなど）を使う方法もある。

特に、削除するプラグインがデータベースにデータを保存している場合は注意が必要だ。プラグインを削除すると、そのデータも消える可能性がある。

段階的に削除する

一度に複数のプラグインを削除すると、何かトラブルが起きた時に原因が特定しにくくなる。一つずつ、段階的に削除していこう。

削除の手順：

バックアップを取る
プラグインを無効化する
サイトが正常に動作するか確認する（数日様子を見る）
問題なければ削除する
再度サイトを確認する

この手順を踏めば、万が一問題が起きても、どのプラグインが原因かすぐに分かる。

削除後のデータベースクリーンアップ

プラグインを削除しても、データベースにゴミが残ることがある。不要なテーブルや設定値が残っていると、データベースが肥大化する原因になるんだ。

クリーンアップ方法：

手動でテーブルを削除：

-- どのプラグインのテーブルか確認してから削除
DROP TABLE IF EXISTS wp_old_plugin_table;

プラグインを使う：

「Advanced Database Cleaner」や「WP-Optimize」を使えば、不要なテーブルやデータを安全に削除できる。

ただし、クリーンアップ前にもバックアップを取ることを忘れないでほしい。間違って必要なデータを消してしまったら、復旧が大変だからね。

現在使っているプラグインの安全性を保つ方法

定期的な更新チェックを習慣化する

プラグインの更新チェックは、月に1回程度は行うべきだ。WordPress管理画面にログインして、更新があるプラグインがないか確認する。

更新があれば、基本的にはすぐに適用しよう。特にセキュリティアップデートは、優先度が高い。攻撃者は、脆弱性が公開された瞬間から攻撃を開始するからね。

更新の注意点：

大きなバージョンアップ（1.0 → 2.0など）は、テスト環境で確認してから
マイナーアップデート（1.2.3 → 1.2.4など）は、基本的にすぐ適用してOK
更新後、サイトが正常に動作するか必ず確認

自動更新の設定を検討する

WordPress 5.5以降、プラグインの自動更新機能が追加された。この機能を使えば、手動で更新する手間が省けるんだ。

自動更新の設定方法：

「プラグイン」→「インストール済みプラグイン」を開く
各プラグインの「自動更新を有効化」をクリック

自動更新のメリット：

常に最新の状態を保てる
セキュリティアップデートが自動適用される
更新忘れがなくなる

自動更新のデメリット：

互換性の問題でサイトが壊れる可能性がある
更新内容を確認できない

僕の推奨は、信頼できるプラグイン（WordPress.org公式、大手開発者）だけ自動更新にして、それ以外は手動更新にすることだ。

使っていないプラグインは削除する

「いつか使うかもしれない」という理由で、使っていないプラグインを残していないか？それは危険な習慣だ。

使っていないプラグインも、サーバーにファイルがある限り、攻撃の対象になる。有効化していなくても、直接ファイルにアクセスされる可能性があるからね。これ、意外と知られていないんだよね。

定期的な棚卸しをしよう：

3ヶ月に1回、プラグイン一覧を見直す
使っていないプラグインを洗い出す
本当に必要か再検討する
不要なら削除する

僕が運用しているサイトでは、プラグインの数を意識的に20個以下に抑えている。プラグインが増えれば増えるほど、管理コストもセキュリティリスクも上がるからね。

プラグインの評判を定期的に確認する

今は問題なく更新されているプラグインも、将来どうなるか分からない。開発者が突然更新を止めることもあるし、買収されて方向性が変わることもある。

定期的に、使っているプラグインの評判をチェックしよう：

WordPress.orgのレビューを見る
Twitterなどで検索してみる
セキュリティ情報サイト（WPScan Vulnerability Database）をチェック

何か問題が起きていないか、早めに察知することが大事なんだよね。

セキュリティプラグインを導入する

Wordfence SecurityやSucuri Securityなどのセキュリティプラグインを導入すると、脆弱性のあるプラグインを自動的に検知してくれる。

これらのプラグインは、既知の脆弱性データベースと照合して、危険なプラグインがあれば警告を出してくれるんだ。便利だよね。

ただし、セキュリティプラグイン自体も定期的に更新する必要がある。プラグインでプラグインを守るという、ちょっと皮肉な話なんだけどね。

よくある質問（FAQ）

Q1: プラグインの更新で互換性の問題が起きないか心配です

確かに、プラグインを更新したことで、他のプラグインやテーマと競合することはある。でも、更新しないリスクの方がはるかに大きいんだよね。これは本当に理解してほしい。

対策：

ステージング環境でテスト
本番環境にいきなり適用せず、テスト環境で動作確認する。
バックアップを取る
更新前に必ずバックアップを取っておく。問題があればすぐ戻せる。
変更履歴を確認
プラグインの「Changelog」を読んで、どんな変更があるか確認する。大きな変更があるなら慎重に。
アクセスの少ない時間に更新
深夜や早朝など、アクセスが少ない時間帯に更新作業を行う。

互換性の問題より、脆弱性を放置する方が危険なんだ。これ、絶対に忘れないでほしい。

Q2: 有料プラグインのサポート期間が切れたらどうすればいい？

有料プラグインは通常、購入時に1年間のサポートと更新が付いてくる。期間が切れると、更新は受け取れなくなるんだ。

選択肢：

更新ライセンスを購入する
多くの場合、30$301C50%割引で更新できる。重要なプラグインなら、更新する価値はある。
別のプラグインに乗り換える
同じ機能を持つ別のプラグインを探す。無料の代替があるかもしれない。
プラグインを使い続ける（非推奨）
サポートなしで使い続けることもできるけど、セキュリティリスクが高まる。推奨しない。

僕の経験では、ビジネスに直結する機能（ECカート、予約システムなど）は、更新ライセンスを購入する価値がある。年間5000円程度で安全性が買えるなら安いものだ。

Q3: プラグインを削除したらデータは消えますか？

これはプラグインによって違う。プラグインの設定だけならWordPressのデータベースに保存されているから、削除しても残ることがある。でも、プラグイン専用のテーブルを作っている場合は、削除と同時に消える可能性が高い。

確認方法：

プラグインのドキュメントを読む
削除時にデータがどうなるか書いてあることが多い。
無効化してから様子を見る
いきなり削除せず、まず無効化して、データが残っているか確認する。
データをエクスポートする
削除前に、必要なデータをエクスポートしておく。

お問い合わせフォームのデータや、ギャラリーの画像など、重要なデータは削除前に必ず確保しよう。

Q4: 古いプラグインを使い続けるとどんな被害がありますか？

具体的な被害例を挙げると：

1. サイトの改ざん
攻撃者が管理者権限を奪って、コンテンツを書き換える。詐欺サイトへのリンクを埋め込まれることもある。

2. データの漏洩
顧客情報や個人情報が盗まれる。最悪の場合、法的責任を問われることもある。

3. マルウェアの配布
サイトにマルウェアを仕込まれて、訪問者に被害を与える。Googleからペナルティを受ける可能性も。

4. SEOスパム
勝手にスパムリンクを大量に埋め込まれて、検索順位が下がる。

5. サイトの乗っ取り
管理画面にアクセスできなくなり、サイトを完全にコントロールされる。

実際、僕が対応した事例では、古いプラグインの脆弱性から侵入されて、復旧に数十万円かかったケースもあった。予防にかけるコストの方が、はるかに安いんだ。

Q5: どのプラグインが更新されていないか、一覧で確認できるツールはありますか？

いくつか便利なツールがある：

1. ManageWP
複数のWordPressサイトを一元管理できるサービス。更新状況を一覧で確認できる。無料プランでも基本機能は使える。

2. MainWP
自分のサーバーにインストールして使う、セルフホスト型の管理ツール。複数サイトの更新状況を一つのダッシュボードで確認できる。

3. WP Remote
クラウドベースの管理ツール。最大5サイトまで無料で管理できる。

4. iThemes Sync
複数サイトの更新を一括で行えるツール。月額10ドルから。

複数のサイトを運用しているなら、こういった管理ツールを導入する価値は十分ある。時間と手間が大幅に削減できるからね。

まとめ：プラグインの健全性がサイトの安全を守る

プラグインは便利だけど、管理を怠ると大きなリスクになる。「今動いているから大丈夫」という考え方が、最も危険なんだ。

冒頭で紹介したクライアントの事例は、決して他人事じゃない。更新されていないプラグインを使い続けているサイトは、今この瞬間も攻撃者に狙われている可能性がある。

この記事のポイント：

更新されていないプラグインは脆弱性の温床
2年以上更新がないプラグインは即座に対処すべき
代替プラグインは慎重に評価して選ぶ
削除前には必ずバックアップを取る
定期的なプラグイン棚卸しを習慣化する
使っていないプラグインは削除する

プラグインの管理は、地味で面倒な作業だ。でも、これを怠ると、取り返しのつかない事態を招くことがある。月に1回、30分だけでいい。プラグインの更新状況をチェックして、必要な対応をする。

それだけで、あなたのサイトの安全性は格段に向上する。今日からでも遅くない。まずは管理画面を開いて、プラグイン一覧を確認してみよう。古いプラグインが潜んでいないか、チェックしてほしい。

セキュリティに「完璧」はないけど、「継続的な努力」はできる。プラグインの健全性を保つことが、サイトの安全を守る第一歩なんだ。

WordPressのセキュリティ、不安に思っていませんか？

「自分のサイトは大丈夫だろうか…」
「何から手をつければいいか分からない…」

もしあなたが少しでもそう感じているなら、専門家によるセキュリティ診断を受けてみることを強くお勧めします。

＞＞ WordPressセキュリティ無料診断はこちら

上記のサイトでは、WordPressのプロがあなたのサイトの脆弱性を無料で診断してくれます。問題が見つかれば、具体的な対策方法についてもアドバイスをもらえます。手遅れになる前に、一度プロの目でチェックしてもらい、安心を手に入れましょう。