「とりあえずセキュリティプラグインを入れたが、本当に守れているのか」——WordPress運用担当者の多くが、確証を持てないままこの不安を抱えています。
WordPressは世界で最も狙われるCMSです。ただし過度に怖がる必要はありません。攻撃の正体と侵入経路を理解すれば、「最低限やるべきこと」「過剰なこと」「外注すべきこと」の判断はつきます。
この記事では、攻撃の実態・最小構成の対策・継続監視という3視点でWordPressセキュリティを整理します。読み終えるころには、自社で守れる範囲と保守に任せる範囲を切り分けられます。
なぜWordPressは攻撃の標的になりやすいのか
理由は単純で、「数が多く、放置されやすい」からです。
WordPressは全Webサイトの約4割、CMS市場の約6割を占めます(出典:w3techs.com)。利用者が多いほど、攻撃者には「一つの穴を大量のサイトに使い回せる」効率のよい標的になります。2025年は特に、更新されず既知の弱点が残ったままの「放置された野良サイト」が狙われる傾向が強まりました(出典:lac.co.jp)。
「うちのような小さな会社は狙われない」という油断は危険です。攻撃の大半は狙い撃ちではなく、自動ボットが弱いサイトを無差別に探し巡回するもの。規模や知名度に関係なく、「古いプラグインがある」「パスワードが弱い」条件に合致した瞬間、機械的に対象へ加えられます。
実際に起きる被害:改ざん・乗っ取り・踏み台化
攻撃が成功すると、被害は大きく3類型に分かれます。
- サイト改ざん・マルウェア配布:最多のインシデント類型(出典:webtan.impress.co.jp)。見た目は正常なまま裏で不正リンクやマルウェアを埋め込まれ、訪問者を感染させる状態が数週間続くこともあります。
- 管理画面の乗っ取りと情報漏えい:wp-adminを奪われると全権限が失われ、会員情報や問い合わせデータの漏えいに直結します。
- 「踏み台」化:乗っ取られたサーバーが他サイトへの攻撃やスパム送信の発信源にされると、被害者であると同時に加害者になります。取引先からの信用失墜は、改ざん復旧以上に重い代償です。
主な侵入経路と脆弱性はどこから生まれるか
侵入経路は大きく3つです。
古いプラグイン・テーマ・本体:ここに重要な事実があります。WordPressの脆弱性のうち約96%はプラグイン、約4%はテーマに起因し、本体(Core)由来はごくわずかです(出典:patchstack.com)。「本体さえ最新なら安心」は危険な誤解で、放置されたプラグインや不要なテーマを更新・削除しない限り穴は塞がりません。報告される脆弱性は年間約8,000件規模で増加傾向にあり、「一度対策すれば終わり」は通用しません。更新の考え方はWordPressの更新を放置するリスクと正しい運用で解説しています。
脆弱なログイン情報とブルートフォース:自動ボットがログインページに対し、過去に漏えいした既知のパスワードを数万パターン単位で機械的に試行します(出典:ja.wordpress.org)。「admin」のような推測されやすいユーザー名や使い回しのパスワードは、突破が時間の問題です。
加えて、使わなくなったプラグインの残骸やテスト用ファイル、不適切な権限設定の放置も入口になります。
最小構成でできるWordPressセキュリティ対策
何をどこまでやれば足りるのか、優先順位で整理します。複数の保守事業者・専門家が共通して挙げる対策は以下です(出典:xserver.ne.jp、aeyescan.jp)。
| 優先度 | 対策 | 内容 |
|---|---|---|
| 最優先 | 更新の維持 | 本体・プラグイン・テーマを常に最新に保つ |
| 最優先 | 強固なパスワード | 推測困難なパスワード+二段階認証(2FA) |
| 高 | ログイン保護 | ログイン試行回数の制限、ログインURLの変更 |
| 高 | 定期バックアップ | 改ざん時に元へ戻せる復旧手段の確保 |
この4つを回せているだけで、無差別の自動攻撃の多くは防げます。余力があれば、WAFによる不正アクセス遮断、SSL/HTTPSによる通信の暗号化を追加します。
ここで朗報です。エックスサーバーやConoHa WINGなどの主要レンタルサーバーは、WAF・無料SSL・自動バックアップを標準搭載し、エックスサーバーはWeb改ざん検知まで標準提供します(出典:xserver.ne.jp、conoha.jp)。つまり、更新頻度が低い小規模サイトで本体・プラグインの更新と2FAを自分で回せるなら、保守契約がなくても最低限の盾は成立しうるのです。「保守は必ず必要」と煽る情報は正確ではありません。
やりすぎ・的外れな対策の戒め
一方、「とりあえずセキュリティプラグインを入れた」状態は逆効果になることがあります。プラグインの重ねがけ(入れすぎ)は逆効果で、複数のファイアウォール処理が競合してログイン不能を招いたり、常時スキャンが表示速度を大幅に低下させたりします。セキュリティプラグイン自体に脆弱性が見つかる事例すらあります(出典:kusanagi.biz、wpsecuritypartner.jp)。標準は「総合型1つ+単機能の補完1〜2つ」まで。増やすほど安全になるわけではありません。
導入して終わりにせず継続運用する考え方はWordPress保守とは何かで体系的に解説しています。
「入れて終わり」が一番危ない:継続監視という壁
対策を実施しても、まだ足りないものがあります。「継続的に気づき続ける」仕組みです。
セキュリティ対策の本質はツール導入ではなく、新しい脆弱性が公開されたとき、改ざんや不審なログインが起きたとき、その「変化」に気づき即座に対応できるかどうかです。脆弱性は年間約8,000件規模で増え続け、今日安全な設定が明日には穴になりかねません。
ここに自社運用の壁があります。改ざん検知がアラートを出しても、毎日確認する人がいなければ意味がありません。脆弱性情報を追い続け、自社の使用プラグインと照合し即座に更新する体制の維持は容易ではない。「設定はしたが、その後誰も見ていない」——これが、対策を入れたはずのサイトが被害に遭う最大の理由です。
当社の考え方:AI常時監視 × 人間の審美眼での検知
株式会社六(Roku inc.)は、この「気づき続ける」壁にこそ保守の価値があると考えています。
当社の基本姿勢は、AIによる常時監視・分析と、人間の審美眼による検知の役割分担です。人間は24時間サイトを見張れません。そこでAIが異常な変化やアクセスを常時監視・分析し、本当に対応が必要か・どう対応すべきかを人が最終判断します。機械の網羅性と人の判断力。この組み合わせが見落としを減らす現実的な方法です。
同時に大切にしているのは、「任せれば100%安全」と断定しないことです。セキュリティに絶対はありません。レンタルサーバーの標準機能で足りる範囲、自社で回せる対策、それでも継続監視には人手が必要なこと——これらを正直に切り分けてお伝えし、範囲外を「できる」とは言いません。
自社サイトが「守れているのか分からない」方は、現状把握から始めるのが確実です。当社のWordPress保守の無料診断では、診断結果として「サーバー標準で足りています」とお伝えすることもあります。相談はお問い合わせから、会社選びの確認点はWordPress保守会社の選び方もご覧ください。
よくある質問
セキュリティプラグインを入れれば十分ですか?
十分とは言えません。入れすぎは競合エラーや表示速度低下を招く逆効果になることがあります(出典:kusanagi.biz)。「総合型1つ+補完1〜2つ」にとどめ、本体・プラグインの更新、強固なパスワード、二段階認証の基本運用とセットで考えてください。
一度対策すれば当面は安心ですか?
いいえ。脆弱性は年間約8,000件規模で報告され増加傾向にあり、約96%はプラグイン・テーマ由来のため本体更新だけでは穴は塞がりません(出典:patchstack.com)。継続して変化に気づき続けることが本質です。
個人サイトや小規模サイトでも攻撃されますか?
されます。攻撃の大半は自動ボットによる無差別の巡回で、規模や知名度に関係なく弱点があれば標的になります。むしろ放置されがちな小規模サイトほど狙われやすい傾向があります(出典:lac.co.jp)。
保守契約と自社運用、どちらが安いですか?
主要レンタルサーバーはWAF・SSL・自動バックアップを標準搭載するため、更新を自分で回せる小規模サイトなら標準機能で最低限は守れます(出典:conoha.jp)。一方、保守の相場は月額1万〜5万円程度(最多帯2〜3万円)。分かれ目は「変化を見続ける体制を社内で維持できるか」です。詳しくはWordPress保守とは何か、現状が不明なら無料診断で切り分けるのが確実です。
