WordPressは世界のWebサイトの4割以上で使われている、最も人気の高いコンテンツ管理システム(CMS)です。企業の公式サイトから個人ブログまで幅広く活用されていますが、その人気の裏で、サイバー攻撃の主要な標的にもなっています。
はじめに:あなたのWordPressサイトは本当に安全ですか?
「自分のサイトは小規模だから大丈夫」「価値のある情報なんてないから狙われない」——そう思っていませんか?実は、攻撃者はサイトの規模や知名度に関係なく、脆弱性のあるサイトをプログラムで無差別に探し出します。ある日突然、サイトが改ざんされたり、訪問者にウイルスをばらまく踏み台にされる可能性は誰にでもあるのです。
セキュリティ企業の調査では、毎日100サイト以上のWordPressサイトがハッキング被害に遭っているという報告もあります。今この瞬間も、世界中で無数のボット(自動化された攻撃プログラム)が、脆弱性を持つWordPressサイトを探し回っています。
この記事では、WordPressサイトが攻撃者に狙われやすい「3つの理由」を、具体的なデータや事例を交えて解説します。さらに、サイト運営者が今日からすぐに実践できる基本的なセキュリティ対策もご紹介します。
なぜWordPressは世界中で愛され、そして狙われるのか?
WordPressは「CMS(コンテンツ管理システム)」の一種です。HTMLやCSS、PHPといった専門知識がなくても、ブログ記事を書く感覚でWebサイトの作成や更新ができます。
その人気は圧倒的です。W3Techsの2025年10月時点のデータによれば、WordPressは世界の全Webサイトの43.7%で使われており、CMSが使われているサイトに限れば62.7%というシェアです[1]。日本国内でも、利用されているCMSの約8割がWordPressという調査結果があります。
WordPressが支持される理由は、使いやすさだけではありません。無料で利用できるオープンソースソフトウェアであること、豊富なプラグインやテーマによる高い拡張性、世界中に広がる活発なコミュニティなど、多くの魅力があります。
ただし、この「圧倒的な人気」こそが、WordPressが攻撃者に狙われる最大の理由になっています。攻撃者にとって、利用者が多いプラットフォームはそれだけ「獲物」が多いことを意味するからです。
理由1:圧倒的なシェアが攻撃効率を最大化する
サイバー攻撃を仕掛ける攻撃者の多くは、特定の個人や企業を狙うより、脆弱性のあるサイトを無差別に探し出し、効率的に攻撃することを好みます。
攻撃者の視点で考えてみましょう。ある攻撃手法を開発したとき、市場シェア1%のCMSでしか通用しない場合と、シェア60%以上のCMSで通用する場合、どちらが「成果」を期待できるでしょうか。一度WordPressの脆弱性を突く攻撃手法を確立すれば、世界中に存在する何億ものWordPressサイトに対して試すことができます。これが攻撃者にとっての「スケールメリット」です。
実際、WordPressのプラグインなどに新たな脆弱性が発見されると、その情報を悪用した攻撃が世界中で一斉に発生するケースが後を絶ちません。攻撃者は、脆弱性情報が公開されてからサイト運営者が対策を講じるまでの「タイムラグ」を狙います。シェアが大きいほど、対策が遅れているサイトの絶対数も多く、攻撃が成功する確率も高まるわけです。
さらに、攻撃者コミュニティではWordPressを標的とした攻撃ツールや脆弱性情報が活発に共有されています。専門知識がなくてもこうしたツールを使えば簡単に攻撃を仕掛けられるため、攻撃のハードルが下がっていることも問題です。
| CMSの種類 | CMS市場シェア(2025年10月時点)[1] |
|---|---|
| WordPress | 62.7% |
| Shopify | 5.5% |
| Wix | 3.7% |
| Squarespace | 3.1% |
| Joomla | 2.7% |
| その他 | 22.3% |
WordPressの圧倒的なシェアは、その利便性の証であると同時に、攻撃者を引き寄せる要因にもなっています。
理由2:プラグインとテーマという「無限の拡張性」と「無限の穴」
WordPressの最大の魅力は、プラグインやテーマで機能を自由に拡張できる点です。お問い合わせフォームの設置、SEO対策、ネットショップ機能、画像ギャラリー、会員制サイトなど、世界中の開発者が作った数万種類以上のプラグインを使えば、専門知識がなくても高度な機能を持つサイトを構築できます。しかし、この「無限の拡張性」は、セキュリティ上の「無限の穴」を生む原因でもあります。
WordPressセキュリティサービスを提供するWordfenceの調査によると、WordPressサイトへの攻撃のうち約56%がプラグインの脆弱性を突いたものでした[2]。WordPress本体の脆弱性を突いた攻撃はわずか0.2%程度ですから、プラグインがいかに大きなリスクになっているかがわかります。
開発者の多様性とスキルレベルの差
WordPressのプラグインは、大手企業が開発する高品質なものから、個人の趣味で作られたものまで玉石混交です。WordPress公式ディレクトリに登録されているプラグインでさえ、セキュリティを十分考慮せずに作られたものが存在します。特に入力値の検証(バリデーション)やデータベースへのアクセス制御が不適切なプラグインは、SQLインジェクションやクロスサイトスクリプティング(XSS)などの攻撃に脆弱です。
メンテナンスの停止と「放置プラグイン」問題
公開当初は人気があったプラグインでも、開発者の都合で更新が止まることがあります。WordPress本体や関連技術(PHP、MySQLなど)は日々進化しているため、古いプラグインは新しい環境との互換性を失うだけでなく、新たな脆弱性が発見されても放置され、格好の攻撃対象になります。最終更新日が2年以上前のプラグインは避けたほうがいいでしょう。
Nulled(海賊版)テーマ・プラグインの危険性
本来有料で販売されている高機能なテーマやプラグインが、非公式サイトで違法に無料配布されていることがあります。こうした「Nulled」と呼ばれるものには、ほぼ確実にマルウェア(ウイルスなど悪意のあるプログラム)が仕込まれており、利用した瞬間にサイトが乗っ取られる危険性が極めて高いです。バックドア(不正アクセス用の裏口)が埋め込まれていたり、管理者権限を持つユーザーが勝手に作成されたりするケースが報告されています。
テーマもまた脆弱性の源泉となる
テーマも例外ではありません。サイトのデザインを司るテーマにもプログラムが含まれており、脆弱性が発見されることがあります。特に多機能なテーマ(ページビルダー機能やカスタム投稿タイプを含むもの)ほどコードが複雑になり、脆弱性が潜む可能性も高まります。過去には人気テーマ「OneTone」にデータベースの中身を書き換えられてしまう脆弱性が見つかり、サイト改ざんなどの被害が出ました。
「ただのデザインテンプレート」と安易に考えず、プラグイン同様、信頼できる開発元から提供され、定期的に更新されているものを選びましょう。
理由3:オープンソースの「透明性」と利用者の「セキュリティ意識の格差」
WordPressは「オープンソースソフトウェア」です。ソフトウェアの設計図であるソースコードが全世界に公開されており、誰でも自由に閲覧、改変、再配布できます。このオープンソースという性質により、世界中の有志の開発者が協力してバグを修正したり、機能を改善したりできるという大きなメリットがあります。
しかし、この「透明性」は攻撃者にとっても好都合です。公開されているソースコードを研究し、脆弱性、つまり「セキュリティ上の穴」を探し出すことができるからです。善意の開発者が脆弱性を発見して修正パッチを公開するのと同様に、悪意のある攻撃者も日夜脆弱性を探しています。特に脆弱性が発見されて修正パッチが公開された後、そのパッチの内容を逆解析することで、まだ更新していないサイトを狙った攻撃が活発化する傾向があります。
利用者層の広がりとセキュリティレベルの格差
さらに、利用者層の広がりがセキュリティレベルの格差を生んでいます。手軽に始められるがゆえに、Webサイトやセキュリティの知識が十分でないままサイトを運営しているユーザーが少なくありません。以下のようなケースは攻撃者にとって「格好のカモ」です。
初期設定のまま運用している
インストール時のユーザー名「admin」をそのまま使っている、ログインURLが「/wp-admin」や「/wp-login.php」のまま、データベースのテーブル接頭辞が「wp_」のままなど、初期設定を変更せずに運用していると攻撃者に推測されやすくなります。
弱いパスワードの使用
「password」「123456」「サイト名+123」など容易に推測できるパスワードを設定している、あるいは他のサービスで使っているパスワードを使い回している。パスワードマネージャーを使わず、覚えやすいパスワードを優先してしまいがちです。
更新の軽視
管理画面に更新通知が表示されていても、「サイトが壊れたら怖い」「忙しくて時間がない」という理由で放置している。更新によって互換性の問題が発生することを恐れるあまり、セキュリティリスクを放置してしまうケースが多く見られます。
バックアップの欠如
万が一に備えたバックアップを取得していない。あるいはバックアップは取っているものの、復元テストをしたことがなく、いざという時に使えない状態になっている。
不要なプラグインの放置
使っていないプラグインを無効化したまま放置している。無効化されたプラグインでも、ファイルがサーバー上に残っている限り、脆弱性を突かれる可能性があります。
「自分のサイトは狙われない」という誤解
「自分のサイトには価値ある情報はないから」と考えるのは間違いです。攻撃者はあなたのサイトのコンテンツに興味があるわけではありません。彼らの目的は、サイトを乗っ取って違法な広告を表示したり、他のサイトを攻撃するための踏み台(ボットネット)にしたり、訪問者の個人情報を盗むためのフィッシングサイトに改ざんしたり、SEOスパム(検索エンジンのランキングを不正に操作するためのリンク)を埋め込んだりすることです。
ボットと呼ばれる自動化プログラムは、インターネット上を常に巡回し、上記のような初歩的なセキュリティミスを犯しているサイトを無差別に探しています。個人ブログでも小規模な企業サイトでも、脆弱性があれば等しく攻撃対象になります。
【具体例】あなたのサイトも他人事ではない!代表的な攻撃手口
WordPressを狙った攻撃には様々な手口がありますが、ここでは特に代表的なものを3つご紹介します。
ブルートフォース攻撃(総当たり攻撃)
ログイン画面に対して、考えられるすべてのユーザー名とパスワードの組み合わせを、プログラムを使って手当たり次第に試す、非常に原始的かつ古典的な攻撃です。まるで金庫のダイヤルを片っ端から回していくようなイメージです。
ユーザー名が「admin」のままだったり、パスワードが単純だったりすると、この攻撃によって短時間でログイン情報が破られてしまいます。攻撃者は、よく使われるパスワードのリスト(辞書ファイル)を使って効率的に試行するため、「password123」のような一見複雑に見えるパスワードでもすぐに突破されます。
対策としては、強力なパスワードの設定に加えて、ログイン試行回数を制限するプラグイン(例:Limit Login Attempts Reloaded)の導入や、二要素認証の有効化が効果的です。
SQLインジェクション
Webサイトのお問い合わせフォームや検索窓など、ユーザーが情報を入力する部分に、データベースを不正に操作するための命令文(SQL)を注入(インジェクション)する攻撃です。適切な入力値検証が行われていないプラグインやテーマが狙われます。
これが成功すると、データベースに保存されている顧客情報、メールアドレス、パスワードハッシュなどの機密情報が盗まれたり、Webサイトのコンテンツが改ざんされたり、管理者権限を持つ不正なユーザーが作成されたりする可能性があります。
対策としては、プラグインやテーマを常に最新の状態に保つこと、信頼できる開発元のものを選ぶこと、WAF(Webアプリケーションファイアウォール)を導入することが有効です。
クロスサイトスクリプティング(XSS)
攻撃者がサイトの脆弱性を利用して、悪意のあるスクリプト(プログラム)をWebページに埋め込む攻撃です。主にコメント欄や投稿フォームなどが悪用されます。訪問者がそのページを閲覧すると、埋め込まれたスクリプトがブラウザ上で実行され、以下のような被害が発生する可能性があります。
- 偽のログインページに誘導されてIDとパスワードを盗まれる(フィッシング)
- Cookie情報が盗まれてなりすましの被害に遭う
- 訪問者のブラウザを経由して、さらに別のサイトへの攻撃が行われる
サイト運営者だけでなく、サイト訪問者にも被害が及ぶ悪質な攻撃です。対策としては、コメント欄の適切なサニタイゼーション(無害化処理)、セキュリティプラグインの導入、定期的な脆弱性診断が重要になります。
今すぐできる!WordPressセキュリティの第一歩
ここまで読んで、ご自身のサイトのセキュリティに不安を感じた方もいるかもしれません。でも悲観する必要はありません。基本的な対策をしっかり行うことで、攻撃のリスクを大幅に減らすことができます。ここでは初心者の方でも今日からすぐに実践できる、最も重要な5つの対策をご紹介します。
1. 更新(アップデート)の徹底
WordPressのセキュリティ対策の基本中の基本です。WordPress本体、プラグイン、テーマの3つは常に最新のバージョンに保ちましょう。開発者は脆弱性が発見されると、それを修正するための更新プログラムを配布します。更新を怠ることは、家の鍵を開けっ放しにして外出するようなものです。
管理画面に更新通知が表示されたら、必ずバックアップを取った上で速やかに実行しましょう。可能であれば、WordPress本体のマイナーアップデート(セキュリティ修正)は自動更新を有効にしておくことをおすすめします。
2. パスワードの強化とユーザー管理
ブルートフォース攻撃を防ぐために、推測されにくい強力なパスワードを設定しましょう。以下のポイントを守ってください。
- 大文字・小文字・数字・記号を組み合わせ、12文字以上にする
- 辞書に載っている単語や、個人情報(誕生日、電話番号など)を使わない
- 他のサービスで使っているパスワードを使い回さない
- パスワードマネージャー(1Password、Bitwardenなど)を活用する
さらにセキュリティを高めるため、ログイン時にパスワードに加えて、スマートフォンアプリなどで生成される確認コードの入力を求める「二要素認証」の導入を強くおすすめします。Google AuthenticatorやAuthyなどのアプリを使えば、無料で簡単に設定できます。
3. 信頼できるプラグイン・テーマの選定
プラグインやテーマをインストールする際は、その信頼性を慎重に見極めましょう。公式ディレクトリからインストールする場合でも、インストール前に以下の項目を確認する習慣をつけてください。
- 評価(星の数):4つ星以上が目安
- 有効インストール数:多いほど信頼性が高い傾向がある
- 最終更新日:1年以内に更新されているか
- サポートフォーラムでの開発者の対応:質問に対して適切に回答しているか
- WordPress本体のバージョン互換性:最新バージョンに対応しているか
長期間更新されていないもの、評価が著しく低いもの、レビューが極端に少ないものは避けましょう。また、使っていないプラグインやテーマは無効化するだけでなく完全に削除してください。
4. バックアップの習慣化
どれだけ対策をしても攻撃のリスクを100%なくすことはできません。万が一ハッキング被害に遭ってしまった場合の最後の砦となるのがバックアップです。定期的にサイトのファイルとデータベースのバックアップを取得しておけば、被害に遭っても正常な状態に復旧できます。
利用しているレンタルサーバーが提供する自動バックアップ機能を利用したり、バックアップ用のプラグイン(UpdraftPlus、BackWPupなど)を導入したりして、必ずバックアップを取得する習慣をつけましょう。理想的には週に1回以上の頻度でバックアップを取り、複数の場所(サーバー、クラウドストレージ、外部ハードディスクなど)に保存することをおすすめします。
5. セキュリティプラグインの導入
WordPressには、セキュリティを強化するための専用プラグインが多数存在します。代表的なものとして、Wordfence Security、SiteGuard WP Plugin、All In One WP Security & Firewallなどがあります。これらのプラグインは以下のような機能を提供します。
- マルウェアスキャン
- ファイアウォール機能
- ログイン試行回数の制限
- 二要素認証
- ログイン通知
- 不正なファイル変更の検知
初心者の方には、日本語対応で設定が簡単な「SiteGuard WP Plugin」がおすすめです。ログインURLの変更、画像認証の追加、ログイン履歴の記録など、基本的なセキュリティ対策を簡単に実装できます。
まとめ:WordPressの安全は「人任せ」にしない意識から
本記事では、WordPressサイトが攻撃者に狙われやすい3つの主要な理由について解説してきました。
- 圧倒的なシェア:攻撃者にとって効率的なターゲットであること。
- 拡張性の高さ:プラグインやテーマが脆弱性の温床となりやすいこと。
- 利用者の意識格差:オープンソースの利便性の裏で、セキュリティ対策が不十分なサイトが多いこと。
これらの理由は、いずれもWordPressの持つ魅力と表裏一体です。だからといってWordPressの利用を諦める必要はまったくありません。大切なのは、これらのリスクを正しく理解し、「自分のサイトは自分で守る」という意識を持つことです。
セキュリティ対策は一度設定すれば終わりというものではなく、サイトを運営し続ける限り継続的に行っていく必要があります。車の運転に日々の安全確認が欠かせないように、Webサイト運営にも定期的なメンテナンスが不可欠です。完璧な対策を追い求めるあまり何もできなくなっては本末転倒ですが、今回ご紹介した基本的な対策を怠らないことが、あなたの貴重なサイトを悪意ある攻撃から守るための最も確実な一歩となります。
もしご自身での対策に限界を感じたり、すでに何らかの被害に遭ってしまった場合は、無理せず専門家に相談することも重要です。早期に対応することで被害の拡大を防ぎ、迅速にサイトを復旧させることができます。専門家は脆弱性診断、マルウェア除去、セキュリティ強化設定など、包括的なサポートを提供してくれます。
「うちのサイト、今どのくらい安全なんだろう?」
そんな疑問を持った方は、まずセキュリティ診断を受けてみるのもいいかもしれません。最近では30秒ほどでサイトの安全性をチェックできる無料診断サービスもあります。暗号化の設定やプラグインの脆弱性、情報漏れのリスクなど、気になるポイントを一通り確認できます。
WordPressセキュリティ診断 https://rescue-wordpress.com/
実は毎日100サイト以上がハッキングの被害に遭っているという現実があります。「まさか自分のサイトが狙われるなんて」と思っていても、被害は突然やってきます。
早めに問題を見つけて対処しておけば、大きなトラブルを未然に防げます。まずは自分のサイトの「健康診断」から始めてみませんか?
参考文献
[1] W3Techs - Usage statistics of content management systems (2025年10月21日アクセス)
[2] Wordfence - How Attackers Gain Access to WordPress Sites (2025年10月21日アクセス)