サイバー攻撃の増加により、WordPress サイトのセキュリティ対策が急務となっています。「セキュリティについて詳しくないが、自社サイトを守りたい」と考える Web 担当者の方も多いでしょう。
WordPress は世界で最も利用されているCMSのため、攻撃者から狙われやすいという現実があります。しかし、適切な知識と対策により、脆弱性による被害は防げます。
当記事では、WordPress 脆弱性の基礎知識から具体的な対策方法、万が一攻撃された場合の対処法まで、実践的な情報を網羅的にお伝えします。読み終えた後、自社サイトの安全性を高める具体的なアクションが明確になるでしょう。
目次
WordPress 脆弱性は狙われやすいのか?
WordPress は世界で最も利用されているCMSで、全ウェブサイトの約60%が WordPress で構築されています。シェア拡大により、攻撃者にとって魅力的なターゲットとなっており、脆弱性が発見されると瞬く間に世界中で悪用される傾向があります。
一方で、WordPress 本体の脆弱性は、プラグインやテーマと比較して発見される件数が少なく、2023年には13件のみ報告されています。発見された脆弱性も迅速に修正され、コミュニティによる積極的な対応により高い安全性が維持されているのも事実です。最も効果的な対策は常に最新バージョンに保つことになります。
参考:Usage Statistics and Market Share of Content Management Systems, June 2025
プラグインの脆弱性は狙われやすい
WordPress プラグインは多様な開発者によって作られており、セキュリティレベルに大きな差があります。WordPress.org 公式リポジトリには6万を超えるプラグインが登録されており、個人開発者から企業まで様々な制作者が存在します。
特に人気の高いプラグインや更新が停止したプラグインは攻撃者の標的になりやすく、脆弱性が発見されると瞬時に世界中で大規模な攻撃に発展することが多いのが現状です。
無料で公開されているプラグインの中には、開発者のセキュリティ意識が低く、コードレビューが不十分なものも存在するため注意が必要になります。
実際に、ダウンロード数が数百万を超えるメジャーなプラグインでも過去に深刻な脆弱性が発見されており、プラグインの人気度と安全性は必ずしも比例しないため、定期的な監視が欠かせません。
テーマの脆弱性も狙われることがある
WordPress テーマも重要な攻撃対象となり得る要素です。テーマはサイトの見た目を制御するだけでなく、PHP コードを含むため、プラグイン同様にセキュリティリスクを抱えています。
特に無料テーマや海外製テーマには脆弱性が含まれていることがあり、テーマファイルに悪意のあるコードが埋め込まれるケースも数多く報告されています。信頼できる開発元のテーマを選ぶことが重要であり、定期的な更新が提供されているか、サポート体制が整っているかも重要な確認ポイントです。
また、テーマを選択する際は、ダウンロード数やレビュー、最終更新日を必ずチェックし、長期間更新されていないテーマの使用は避けるべきでしょう。
さらに、テーマを自作・改変する場合は、セキュリティホールが生じないよう適切なコーディング規約に従い、入力値の検証やエスケープ処理を適切に実装することが必要です。
最近報告された WordPress 脆弱性一覧
以下は2024年以降に報告された主要な WordPress 関連の脆弱性です。
| 発見時期 | 対象 | 脆弱性の種類 | 影響度 | 対策状況 |
| 2024年1月 | WordPress 本体 6.4.2 | SQL インジェクション | 高 | 修正済み |
| 2024年3月 | EC サイト系プラグイン | 認証回避 | 中 | 修正済み |
| 2024年5月 | お問い合わせ系プラグイン | XSS(クロスサイトスクリプティング) | 中 | 修正済み |
| 2024年7月 | SEO系プラグイン | 権限昇格 | 高 | 修正済み |
| 2024年9月 | ページビルダー系プラグイン | リモートコード実行 | 高 | 修正済み |
| 2024年11月 | キャッシュ系プラグイン | SQL インジェクション | 高 | 修正済み |
新しい脆弱性は継続的に発見されているため、定期的な情報収集と迅速な対応が求められます。
WordPress 脆弱性を放置するリスク
WordPress の脆弱性を放置すると、様々な深刻な被害が発生する可能性があります。企業にとって致命的な損失となるケースも少なくありません。
サイト改ざん・マルウェア感染
脆弱性を放置すると、攻撃者にサイトが乗っ取られる可能性が高まります。
コンテンツの改ざんや悪意のあるスクリプトの埋め込み、ユーザの端末にマルウェアを送り込む踏み台として悪用されるリスクが増大します。サイト改ざんが発生すると、ブランドイメージの著しい低下は避けられません。
顧客情報・個人データの漏洩
WordPress サイトが攻撃されると、データベースに保存された顧客情報や個人データが漏洩する可能性があります。
法的責任を問われたり、企業の信頼性が大きく損なわれたりする深刻な事態を招く恐れがあるでしょう。個人情報保護法違反による罰金や損害賠償請求により、経営に重大な影響を与えるケースも報告されています。
SEO 評価の著しい低下
マルウェア感染や不正なコンテンツが検索エンジンに検出されると、サイトの検索順位が大幅に下がったり、検索結果から除外されたりします。
長期間かけて築いた SEO 評価が一瞬で失われる可能性が高く、回復には数か月から数年という長期間を要する場合があります。オーガニック流入の大幅な減少により、売上への直接的な影響も無視できません。
サーバリソースの悪用
攻撃された WordPress サイトは、DDoS 攻撃の踏み台やスパムメール送信、仮想通貨マイニングなどに悪用される場合があります。
サーバの負荷が増大し、サイトの表示速度低下や停止を招く可能性が高まります。ホスティング会社からアカウント停止処分を受けるリスクもあり、事業継続に支障をきたす恐れもあるでしょう。
復旧・対応にかかるコストやリソースの発生
攻撃を受けた場合、サイトの復旧作業、セキュリティ対策の見直し、顧客対応などに多大なコストと時間がかかります。
場合によっては外部の専門業者への依頼が必要となり、予期しない大きな出費が発生することもあります。従業員のリソースも復旧作業に集中せざるを得なくなり、本来の業務に支障をきたすケースが多数報告されています。
自社 WordPress サイト脆弱性チェック方法
自社サイトの安全性を確認するため、定期的な脆弱性チェックが欠かせません。技術的な知識が少なくても実施できる方法を中心に解説します。
WordPress・テーマ・プラグイン更新状況を確認する
WordPress 管理画面の「更新」メニューで、本体・テーマ・プラグインの更新状況を定期的にチェックする必要があります。
古いバージョンには既知の脆弱性が含まれている可能性があるため、常に最新版を維持することが重要です。更新通知が表示されたら、速やかにアップデートを実行しましょう。ただし、重要なサイトの場合は、事前にバックアップを取得してから更新することをお勧めします。
脆弱なプラグイン・テーマが含まれていないか確認する
利用中のプラグインやテーマが脆弱性データベースに登録されていないか確認する必要があります。
長期間更新されていないプラグインやサポートが終了したテーマは、新たな脆弱性が発見されても修正されないリスクがあります。WordPress.org 公式リポジトリで最終更新日やアクティブインストール数を確認し、メンテナンスされていないプラグインは代替品への移行を検討しましょう。
無料の外部スキャンツールでチェックする
WPScan や Sucuri などの無料セキュリティスキャンツールを活用して、サイトの脆弱性を客観的にチェックできます。
ツールは既知の脆弱性や設定の問題点を自動的に検出してくれるため、技術的な知識が少なくても活用可能です。ただし、外部ツールの結果は参考程度に留め、重要な判断は専門家に相談することをお勧めします。
管理画面のセキュリティ設定を確認する
まず、管理画面へのアクセス制限を IP アドレスベースで設定し、ブルートフォース攻撃そのものを根本的に減らすことが重要です。オフィスや自宅など固定 IP アドレスからのみアクセスを許可することで、攻撃者が管理画面にアクセスすることを物理的に防げます。
管理者アカウントのユーザ名やパスワードの強度、ログイン試行制限の設定状況を定期的に確認する必要があります。デフォルトの「admin」というユーザ名を使用している場合は、予測されやすいため変更が推奨されます。
不要なユーザアカウントが存在しないか、適切な権限設定がされているかもチェックが必要です。特に、管理者権限を持つアカウント数は最小限に抑え、編集者や投稿者など必要最小限の権限のみを付与しましょう。また、長期間ログインしていないユーザアカウントは削除し、外部制作会社に一時的に権限を付与した場合も、作業完了後は速やかに削除することが重要です。管理画面へのアクセスログも定期的に確認し、不審なアクセスがないかをチェックすることをお勧めします。
バックアップと復元体制を確認する
定期的にバックアップが取得されているか、またバックアップから正常に復元できる体制が整っているかを確認する必要があります。バックアップは「取得しているだけ」では意味がなく、実際に復元テストを行うことが重要です。
セキュリティインシデント発生時の迅速な復旧には、信頼性の高いバックアップ体制が不可欠となります。バックアップの保存場所も複数用意し、サーバ障害やランサムウェア攻撃にも対応できるよう、オフサイトでの保管を検討しましょう。また、バックアップの世代管理も重要で、過去1か月分程度は保持し、必要に応じて古いバックアップから復元できる体制を構築することが推奨されます。
今すぐできる WordPress 対策方法
WordPress 脆弱性に関して、今すぐ実施できる具体的な対策方法を詳しく解説します。技術的な知識が少なくても実践できる方法を中心に紹介しますので、ぜひ参考にしてください。
WordPress 本体・テーマ・プラグインを最新バージョンにアップデート
すべてのコンポーネントを最新版に保つことが最も基本的で効果的なセキュリティ対策です。WordPress 本体はもちろん、使用中のすべてのテーマとプラグインを定期的に更新しましょう。
自動更新機能を有効にして、セキュリティパッチが適用された修正版を速やかに適用できる体制を整える必要があります。
ただし、重要なサイトでは自動更新により予期しない不具合が発生する可能性もあるため、段階的な更新プロセスを検討しましょう。
まずテスト環境で更新を行い、問題がないことを確認してから本番環境に適用する手順を構築することが理想的です。更新前には必ずバックアップを取得し、万が一の際に迅速に復旧できる準備を整えることも重要なポイントです。
強力なパスワードに変更し管理者アカウントの ID も変更する
「admin」など予測しやすいユーザ名は避け、大文字・小文字・数字・記号を組み合わせた12文字以上の複雑なパスワードを設定する必要があります。パスワードの強度は、ブルートフォース攻撃への耐性を大きく左右します。
現在のバージョンでは複雑なパスワードを自動生成してくれますし、強固なパスワードかどうかを判断するツールも備わっていますので、それらを使用した上で、覚えられない場合は 1Password、LastPass、Bitwarden などの信頼性の高いパスワードマネージャーを使用することで、複雑なパスワードを安全に管理できます。定期的なパスワード変更も重要で、少なくとも3か月に1回は更新することをお勧めします。複数の管理者がいる場合は、それぞれ異なる強力なパスワードを設定し、共有は避けるべきです。
ログイン試行制限を設定する
短時間に複数回ログインに失敗した場合にアクセスを一時的に制限する機能を導入する必要があります。一般的には、5回以上の連続ログイン失敗で30分間のアクセス制限を設定するのが効果的です。
ブルートフォース攻撃を効果的に防ぐことができ、不正アクセスのリスクを大幅に軽減できます。WordPress には標準でログイン試行制限機能がないため、プラグインを活用しましょう。 Wordfence Security や Limit Login Attempts などの信頼性の高いプラグインを使用することで、簡単に設定できます。制限をかける際は、正当なユーザの利便性も考慮し、適切な閾値と制限時間を設定することが重要です。
2段階認証を導入する
Google Authenticator や Authy 等のアプリを使用した2段階認証を設定する必要があります。2段階認証により、パスワードが漏洩した場合でもアカウントの安全性を大幅に向上させることができます。
パスワードが漏洩した場合でも、スマートフォンでの認証コード入力が必要となるため、不正ログインを防ぐ強力な防御層となります。WordPress では、Google Authenticator や Two Factor Authentication などのプラグインを使用して簡単に導入できます。設定時には、認証アプリのバックアップコードも必ず保存し、スマートフォンを紛失した場合でもアクセスできる体制を整えましょう。管理者全員に2段階認証の設定を義務付けることで、セキュリティレベルを統一的に向上させることが可能です。
管理画面にアクセス制限をかける
特定の IP アドレスからのみ管理画面にアクセスできるよう制限を設けたり、VPN を経由した接続のみ許可したりすることで、管理画面への不正侵入を物理的に防ぐことができます。オフィスや自宅など固定IPアドレスがある場合は、特に効果的な対策です。
.htaccess ファイルやサーバの設定により、管理画面(wp-admin)へのアクセスを制限できます。ただし、リモートワークが多い環境では、VPN サービスを活用したアクセス制限の方が実用的でしょう。また、管理画面の URL を変更するプラグイン(WPS Hide LoginやiThemes Security)を使用することで、攻撃者にとって管理画面の場所を分からなくすることも有効な対策の一つです。アクセス制限を設定する際は、緊急時のアクセス方法も事前に確保しておくことが重要です。
セキュリティプラグインを導入する
Wordfence Security や Sucuri Security 等の信頼性の高いセキュリティプラグインを導入する必要があります。セキュリティプラグインは、多層防御の重要な要素として機能し、様々な脅威から包括的にサイトを保護します。
リアルタイムでの脅威検出、ファイアウォール機能、マルウェアスキャンなど包括的な保護機能が提供されます。Wordfence Security は無料版でも十分な機能を提供し、リアルタイム IP ブラックリストや脆弱性スキャンが利用できます。有料版では、よりリアルタイムな脅威情報の提供や高度なファイアウォール機能が追加されます。プラグイン選択時は、定期的な更新が提供されているか、サポート体制が充実しているかを確認し、複数のセキュリティプラグインの同時使用は避けて競合を防ぎましょう。
定期的に自動バックアップを取るように設定する
UpdraftPlus や BackupBuddy などのプラグインを使用して、サイトデータとデータベースの自動バックアップを設定する必要があります。ただし、サーバ負荷の観点から、レンタルサーバやクラウドサービスでインフラレベルのバックアップ機能が提供されている場合は、そちらを優先的に活用することを推奨します。多くのレンタルサーバでは自動バックアップがオプションまたは標準機能として提供されており、サーバリソースに影響を与えることなく効率的にバックアップを実行できます。バックアップは「保険」的な位置づけですが、セキュリティインシデント発生時には最後の砦となります。
攻撃を受けた場合でも、クリーンな状態への迅速な復旧が可能になります。バックアップの頻度は、サイトの更新頻度に応じて設定しましょう。日次更新があるサイトでは毎日、週次更新程度であれば週1回のバックアップが適切です。バックアップデータの保存先も重要で、同じサーバ内だけでなく、クラウドストレージ(Google Drive、Dropbox、Amazon S3 など)にも保存することで、サーバ障害やランサムウェア攻撃にも対応できます。復元テストも定期的に実施し、実際に使用可能なバックアップかを確認することをお勧めします。
SSL 化を必ず実施
HTTP 通信を暗号化するSSL証明書を導入し、サイト全体を HTTPS 化する必要があります。SSL 化は現在の Web サイト運営において必須の対策となっており、ユーザの信頼獲得にも直結します。
データの盗聴や改ざんを防ぎ、検索エンジンからの評価向上や訪問者の信頼獲得にもつながる重要な対策です。Let’s Encrypt などの無料 SSL 証明書や、レンタルサーバがオプションとして提供する独自 SSL 証明書も利用でき、多くのレンタルサーバで簡単に設定できるようになっています。
SSL 化後は、すべてのページが HTTPS でアクセスできるよう301リダイレクトを設定し、混在コンテンツ(HTTP)が残らないよう注意深く確認しましょう。また、SSL 証明書の期限切れに注意し、自動更新の設定を行うことも重要なポイントです。
不要なテーマ・プラグインを削除する
使用していないテーマやプラグインは完全に削除する必要があります。無効化しただけではサーバ上にファイルが残っているため脆弱性の対象となる可能性があり、攻撃者にとって攻撃経路となるリスクが残存します。
必要最小限のプラグインのみを維持することで、攻撃対象面を大幅に縮小できます。定期的にプラグインの棚卸しを行い、本当に必要なもの以外は削除しましょう。特に、一時的に試用したプラグインや、機能が重複するプラグインは削除対象となります。テーマについても、デフォルトテーマ1つ(デフォルトテーマ1つは残さないとセーフモードで起動できなくなるため)と使用中のテーマ以外は削除することが推奨されます。削除前には、プラグインやテーマが他の機能に依存していないかを確認し、必要に応じてテスト環境で動作確認を行ってから削除作業を実施しましょう。プラグインの代替手段を検討することも重要で、同じ機能を持つより安全なプラグインへの移行も検討すべきです。
もし WordPress サイトが攻撃された場合の対処法
万が一、WordPress サイトが攻撃を受けた場合、迅速かつ適切な対応により被害を最小限に抑えることが可能です。パニックにならず、段階的に対応を進めることが重要になります。
冷静に状況を確認する
攻撃や改ざんが発生していることが判明した場合は、パニックにならず、まずサイトの一時停止やアクセス制限を最優先で実施し、被害の拡大を防ぐことが重要です。調査中に被害が拡大することを防ぐため、安全確保を第一に考えた対応が必要になります。
次に、攻撃の規模や影響範囲を冷静に把握する必要があります。感情的な判断は二次被害を招く可能性があるため、客観的な現状把握が最優先となります。
サイトの表示確認、管理画面へのアクセス可否、異常なファイルやアクセスログの有無など、現状を正確に把握することが適切な対応の第一歩です。複数のブラウザやデバイスからサイトにアクセスし、表示内容に異常がないかを確認しましょう。管理画面にログインできる場合は、ユーザ 一覧、投稿・固定ページの内容、プラグインの状態をチェックします。ホスティング会社のコントロールパネルでアクセスログやエラーログを確認し、不審なアクセスや異常なトラフィックがないかも重要な確認ポイントです。
サイトの一時停止・アクセス制限を設定する
被害拡大を防ぐため、サイトを一時的に停止するかメンテナンスモードに切り替える必要があります。訪問者への被害拡散や検索エンジンへの悪影響を防ぐため、迅速な対応が求められます。
管理画面への不正アクセスを防ぐため、IP アドレス制限や一時的なパスワード変更を実施することが重要です。.htaccess ファイルやプラグインを使用してメンテナンスページを表示し、復旧作業中であることを訪問者に伝えましょう。同時に、管理画面の URL を一時的に変更したり、IP アドレス制限を厳格に設定したりして、攻撃者のアクセスを完全に遮断します。ホスティング会社に連絡し、サーバレベルでのアクセス制限についても相談することをお勧めします。
バックアップからの復旧を検討する
攻撃前の正常な状態のバックアップが利用可能であれば、バックアップからの復旧を検討する必要があります。ただし、復旧前に攻撃の原因を特定し、同じ攻撃を防ぐ対策を講じることが不可欠です。
復旧前に脆弱性の原因を特定し、同じ攻撃を受けないよう対策を講じることが必要になります。バックアップの日付を確認し、攻撃が発生する前の最新のものを選択しましょう。復旧後は、WordPress 本体、テーマ、プラグインをすべて最新版に更新し、セキュリティ設定を見直します。
復旧作業は段階的に行い、まずテスト環境で復旧テストを実施してから本番環境に適用することが安全です。復旧完了後は、サイトの動作確認を入念に行い、すべての機能が正常に動作することを確認してから公開再開しましょう。
マルウェア・不正コードを除去する
サイト内に埋め込まれたマルウェアや不正なコードを特定し、除去作業を行う必要があります。マルウェアは巧妙に隠蔽されている場合が多く、専門的な知識と時間を要する作業となります。
WordPress 本体、テーマファイル、プラグインファイルを詳細にチェックし、改ざんされた箇所を修復または再インストールする必要があります。セキュリティプラグインのスキャン機能を活用し、不正なファイルや怪しいコードを検出しましょう。手動でのファイル確認も重要で、特に index.php、functions.php、.htaccess ファイルは重点的にチェックします。また、WordPress 本体やテーマ、プラグインに本来含まれていないファイルが無いかも確認してください。勝手にファイルを設置してバックドアにされていることもあります。
発見した不正コードは単純に削除するだけでなく、類似のコードが他の場所に隠されていないかも確認が必要です。データベース内にも不正なコードが挿入されている可能性があるため、phpMyAdmin などのツールを使用して確認作業を行いましょう。
全パスワードを変更する
WordPress ユーザ、FTP、データベース、ホスティングアカウントなど、サイトに関連するすべてのパスワードを変更する必要があります。攻撃者が認証情報を取得している可能性を前提とした対応が重要です。
攻撃者が認証情報を取得している可能性があるため、パスワード変更作業は最優先で実施する必要があります。WordPress ユーザアカウントはもちろん、FTP アカウント、データベースのパスワード、ホスティング会社のコントロールパネル、ドメイン管理会社のアカウントまで、サイト運営に関わるすべてのパスワードを変更しましょう。新しいパスワードは、以前使用していたものとは全く異なる複雑なものを設定し、パスワード管理ツールを活用して安全に管理します。変更作業は迅速に行い、すべてのパスワード変更が完了するまでは、サイトへのアクセスを制限状態に保つことが安全です。
専門家へ相談する
技術的な知識や経験が不足している場合は、WordPress セキュリティの専門家や Web セキュリティ会社に相談することが推奨されます。自己判断による不適切な対応は、被害を拡大させるリスクがあります。
適切な対処により二次被害を防ぎ、迅速な復旧を実現できます。セキュリティ専門会社では、マルウェア除去、脆弱性診断、再発防止策の提案など、包括的なサポートを受けることができます。
特に、AWS 上で稼働する WordPress 専用ホスティング「Amimoto」では、15年以上の専門知識を持つチームがセキュリティ対策からインフラ管理まで包括的にサポートし、サーバ管理から解放されて本来の業務に集中できる環境を提供しています。
まとめ
WordPress 脆弱性対策は、現代の Web サイト運営において避けて通れない重要な課題です。WordPress は世界最大のシェアを持つCMSであるため攻撃者の標的となりやすい一方、適切な対策により安全性を大幅に向上させることが可能です。
最も重要なのは、WordPress 本体・テーマ・プラグインを常に最新版に保つことと、強力なパスワード設定、2段階認証の導入、定期的なバックアップの実施です。また、不要なプラグインやテーマの削除、セキュリティプラグインの活用により、攻撃対象面を最小化できます。
万が一攻撃を受けた場合でも、冷静な状況把握と適切な対応手順により被害を最小限に抑えることができます。定期的なセキュリティチェックと継続的な対策により、安全なWordPressサイト運営を実現し、ビジネスの成長を支える強固な基盤を構築していきましょう。
当社へご興味をお持ちいただきありがとうございます。
「こんなことやってみたい!」と、ぜひ気軽にご相談ください。
担当者よりご連絡差し上げます。