WordPressの脆弱性とは、サイトの土台となるプログラムやプラグインに見つかるセキュリティ上の弱点のことです。2024年に報告されたWordPress関連の脆弱性のうち96%は本体ではなくプラグインが原因(Patchstack調べ)。つまり対策の第一歩は、本体の心配をすることではなく、「入れっぱなしのプラグインと、止まっている更新」の点検です。
この記事は、技術者向けの設定手順書ではありません。WordPressで自社サイトを運営している中小企業の経営者が、「うちのサイトはどれくらい危ないのか」「担当者や制作会社に何を指示すればいいのか」を判断できるように書いています。読み終えたときに、今日やるべきことが3つに絞れているはずです。
WordPressの脆弱性とは?なぜ「狙われやすい」と言われるのか
結論から言うと、WordPressが狙われるのは「危険なソフトだから」ではなく、圧倒的に使われているからです。
脆弱性は「鍵のかかっていない裏口」
脆弱性とは、プログラムの設計や実装のミスによって生まれる「侵入や悪用に使える穴」のことです。店舗にたとえるなら、正面玄関の鍵はきちんとかけているのに、従業員用の裏口が開けっぱなしになっている状態。攻撃者は正面から堂々と入ってくるのではなく、こうした裏口を探して機械的に侵入します。
重要なのは、脆弱性は「見つかり続けるもの」だという点です。ソフトウェアは日々研究され、昨日まで安全だった部品に今日新しい穴が見つかります。だからこそ「一度作って終わり」ではなく、穴が見つかったら塞ぐ(=更新する)という運用が前提になっています。
世界の4割・日本の8割が使うから、攻撃の「効率」が良い
W3Techsの調査(2026年6月時点)によると、WordPressは全世界のWebサイトの41.9%、CMS(サイト管理システム)を使っているサイトに限れば約6割で使われています。日本語サイトではさらに集中しており、CMS利用サイトの8割超がWordPressです。
攻撃者の視点に立つと、これは「1つの手口を用意すれば、世界中の膨大なサイトに同じ攻撃を試せる」ことを意味します。実際の攻撃の多くは人間ではなくプログラム(ボット)による無差別スキャンで、「うちは小さい会社だから狙われない」は残念ながら通用しません。ボットは会社の規模を見ておらず、「穴があるかどうか」だけを見ています。
脆弱性の96%はWordPress本体ではなく「プラグイン」にある
WordPressセキュリティ企業Patchstackの年次レポート(2025年版)によると、2024年に報告されたWordPressエコシステムの脆弱性のうち96%はプラグイン、4%はテーマが原因で、本体(コア)の脆弱性はわずか7件でした。2025年上半期も約6,700件の脆弱性が新規報告され、約9割がプラグイン由来という傾向は変わっていません(2026年7月時点)。
WordPress本体はセキュリティ更新が自動適用される仕組みがあり、世界中の開発者に監視されているため、実はかなり堅牢です。本当の弱点は、サイト制作時に入れたまま何年も更新されていないプラグインです。プラグインは世界中の開発者が個別に作っており、品質に大きなばらつきがあります。開発が止まったプラグインは、穴が見つかっても永遠に塞がれません。
「更新ボタンを押していない」が最大の穴になる
管理画面に「更新があります」という通知が溜まっているのに、押すのが怖くて放置している——これは中小企業のWordPressサイトで最もよくある状態です。
この「怖い」という感覚自体は間違っていません。更新には正しい順序(バックアップ→プラグイン→テーマ→本体→PHP)があり、順序を誤ったりバックアップなしで実行したりすると、画面が真っ白になることが実際にあります。問題は、その恐怖の結果として更新が止まり、公開済みの脆弱性(攻撃者側には手口が出回っている状態)を抱えたまま営業し続けることです。脆弱性が公表されると、その情報を使った自動攻撃は数時間〜数日で始まります。
脆弱性を放置した中小企業に実際に起きること
「ハッキングされる」と聞いても実感が湧きにくいので、実際に起きる事態を事業への影響ベースで並べます。
①サイト改ざん——自社サイトが「加害者」になる
最も多い被害がサイト改ざんです。見た目が書き換えられるケースだけでなく、見た目はそのままで、訪問者をウイルス配布サイトへ飛ばす仕掛けだけを埋め込まれるケースが厄介です。この場合、自社サイトがお客様や取引先を攻撃する「加害者」になります。発覚するのは多くの場合、顧客からの「おたくのサイト、変なところに飛ぶんだけど」という連絡や、Googleからの警告です。実際の国内事例と、改ざんに気づくためのチェックリストは別記事にまとめています。(関連記事:Webサイトの改ざんとは?被害事例・気づき方・復旧手順)
②顧客情報の漏洩——信用問題と賠償リスク
問い合わせフォームや予約フォームを通じて蓄積された氏名・連絡先が流出すると、個人情報保護法に基づく本人通知・当局報告の義務が生じ得ます。実務上の負担は金銭だけでなく、取引先・顧客への説明という経営者にしかできない仕事として降りかかります。
③Googleの警告表示——検索結果から実質的に消える
改ざんやマルウェアをGoogleが検知すると、検索結果やブラウザに「このサイトは安全ではありません」という警告が表示され、訪問者は激減します。集客をサイトに頼っている企業にとっては、実質的な営業停止です。復旧して警告を解除するまで、問い合わせも予約も止まります。
被害の相場:平均73万円・復旧まで平均5.8日
IPA(独立行政法人情報処理推進機構)が中小企業4,191社を対象に行った実態調査(2024年度、2025年5月公表)では、サイバーインシデント被害を受けた中小企業の平均被害額は73万円、9.4%は100万円以上(最大1億円)。復旧までの平均期間は5.8日でした。
「5.8日」を自社に当てはめてみてください。サイト経由の問い合わせ・予約が6日間ゼロになったときの機会損失と、信頼回復までの時間。保守や対策の費用は、この数字と比べて判断するものです。
【独自情報挿入:自社診断・保守での実例があればここに。例「当サービスの診断では、依頼サイトの◯%で要注意以上の問題が見つかっています」】
自社サイトの脆弱性を今すぐ調べる方法【無料でできる】
「うちのサイトが今どうなっているか」は、外部から見える情報だけでもかなり分かります。まず現在地を知ることが、すべての判断の出発点です。
専門家はサイトの「外側」からここを見る——17のチェック項目
参考までに、当サイトの無料診断ツールが実際に点検している17項目を公開します。ログイン情報を預からなくても、外部からこれだけの点検が可能です。
【特に危険】機密ファイルの露出——見つかれば即対応が必要
- 設定ファイル(wp-config.php)のバックアップが誰でも取得できる状態(データベースの接続情報が丸見えになる)
- 環境設定ファイル(.env)が外部から閲覧できる
- 開発用フォルダ(.git)が公開され、サイトのソースコードが復元できてしまう
- エラーログ(debug.log)が公開され、サーバ内部の情報が漏れている
【乗っ取りの入口】ログイン突破の足がかり
- REST API(プログラム向けの窓口)からユーザー名が一覧できる(パスワード総当たり攻撃の材料になる)
- 投稿者ページのURLからログイン用ユーザー名が推測できる
- XML-RPC(旧式の外部接続機能)が有効のまま(総当たり攻撃やDDoSの踏み台に悪用される)
【攻撃の下調べ材料】バージョン・構成情報の露出
- WordPressのバージョンが外部から特定できる(そのバージョンの既知の穴を狙われる)
- readme.html・license.txt が残っていてバージョン推定の材料になる
- 使用テーマ名・プラグイン名がHTMLから推測できる(脆弱なバージョンの特定に使われる)
- サーバのバージョン情報が通信ヘッダで露出している
【基本設定の不備】土台の防御が効いていない
- HTTPS(暗号化通信)が強制されていない
- アップロードフォルダの中身が誰でも一覧できる
- ブラウザを守るセキュリティヘッダが不足している
- (診断の前提として)WordPressサイトかどうかの判定
まずは無料診断で「現在地」を知る
上の17項目は、当サイトの無料診断ツールでサイトのURLを入力するだけで点検できます。ログイン情報は不要、結果は危険度スコアで表示されます。
機械診断の限界も知っておく
正直にお伝えすると、外部からの機械診断で見えるのは「外側から確認できる範囲」だけです。プラグインの中身の脆弱性、サーバ内部の設定、すでに仕込まれたマルウェアの有無までは分かりません。スコアが良くても「ひとまず外壁は大丈夫」という意味であり、更新やバックアップの運用ができているかは別問題です。診断は健康診断であって、治療や生活習慣の改善(=日々の保守)の代わりにはなりません。
経営者が指示すべき基本対策——自社でできる範囲
専門知識がなくても、経営者として「指示」はできます。最低限、次の3点を担当者(または制作会社)に確認・指示してください。
最低限の3点セット
- バックアップの確認——「バックアップは取っているか」ではなく「バックアップから元に戻すテストをしたことがあるか」と聞く。戻せないバックアップは無いのと同じです。
- 更新の定例化——本体・プラグイン・テーマの更新を「気づいたとき」ではなく月次の定例作業にする。順序は、バックアップ→プラグイン→テーマ→本体→PHP。
- ログインの保護——推測されにくいユーザー名とパスワード、可能なら二段階認証。「admin」というユーザー名は真っ先に狙われます。
やってはいけないNG対応
- 「制作会社がやってくれているはず」の思い込み——制作契約と保守契約は別物です。契約書に「更新・バックアップ・監視」が明記されているか確認してください。書かれていなければ、誰もやっていません。
- 使っていないプラグインの放置——停止中のプラグインも攻撃対象になり得ます。使わないものは削除が原則です。
- バックアップなしの一括更新——恐怖から解放されたい一心で全部まとめて更新すると、壊れたときに戻れません。
- 被害が出てから考える——復旧費用は予防費用より一桁高くつくのが通例です。
「自分で守る」か「プロに任せる」か——判断基準
すべての会社が保守を外注すべきだとは考えていません。判断の軸は2つ、「社内にWeb担当者がいるか」と「サイトが売上・集客にどれだけ直結しているか」です。
| 状況 | 推奨 |
|---|---|
| 専任担当がいる + サイトは会社案内が中心 | 自社運用で可。月1回の更新日を決めて運用する |
| 担当が不在・兼任 + サイトは会社案内が中心 | 更新・バックアップだけでも外注を検討(低額プランで足りる) |
| サイトが問い合わせ・予約・売上の入口になっている | 監視付きの保守を推奨。止まった日数×日商が判断材料 |
| 過去にハッキング・サイト崩壊の経験がある | 監視+定期診断付きの保守を強く推奨 |
保守を外注する場合の費用は、内容にもよりますが月額1万〜5万円程度が中心的な相場です。詳しい内訳と相場の考え方は別記事で解説予定です。(関連記事:ホームページの保守費用はいくら?月額相場と内訳)
保守会社を選ぶときに聞くべき3つの質問
- 更新の前に必ずバックアップを取りますか? 失敗したら戻せますか?
- サイトが落ちたとき、何分(何時間)以内に気づいて、誰が対応しますか?
- 毎月、何をしたか報告してもらえますか?
この3つに即答できない業者は、「保守」という名の放置になっている可能性があります。
よくある質問
Q. そもそもWordPressを使い続けて大丈夫なのでしょうか?
適切に更新・管理されていれば大丈夫です。WordPressが危険なのではなく、「管理されていないWordPress」が危険です。シェアが大きいぶん攻撃も多いですが、対策情報や専門家も最も充実しています。
Q. 無料で脆弱性を調べられますか?
外部から確認できる範囲であれば無料で可能です。当サイトの無料診断はURLを入力するだけで17項目を点検し、危険度スコアを表示します。ログイン情報は不要です。
Q. セキュリティプラグインを入れれば安心ですか?
一定の防御にはなりますが、それだけでは不十分です。セキュリティプラグインは「門番」であって、古いプラグインに開いた穴そのものは塞げません。更新・バックアップと組み合わせて初めて機能します。
Q. 制作会社に任せているつもりでした。何を確認すべきですか?
契約書または請求内容に「保守」(更新・バックアップ・監視)が含まれているかを確認してください。サイト制作の契約と保守の契約は別であることが多く、「納品後は何もしていない」ケースが珍しくありません。
Q. すでに攻撃されているかどうかは、どうすれば分かりますか?
見た目が正常でも感染していることがあります。兆候の例は、Google Search Consoleのセキュリティ警告、身に覚えのない管理者ユーザーの存在、サイト経由の迷惑メール大量送信、検索結果に出る身に覚えのないページなどです。疑わしい場合は放置せず、専門家に相談してください。
Q. 脆弱性対策を外注すると、費用はどれくらいかかりますか?
保守サービスの相場は月額1万〜5万円程度が中心です(作業範囲によって変動)。単発の脆弱性診断や復旧作業は別料金になるのが一般的です。まず無料診断で現状を把握してから、必要な範囲だけ検討するのが無駄のない順序です。
まとめ——今日やることは3つ
WordPressの脆弱性は、正体を知れば怖がりすぎる必要はありません。96%はプラグイン由来で、対策の基本は「現状把握・更新・バックアップ」の3つに集約されます。経営者として今日やるべきことは次の3つです。
- 無料診断で現在地を知る——URLを入れるだけ。まず外側の穴の有無を確認する
- バックアップの実態を確認する——担当者か制作会社に「復元テストをしたことがあるか」と聞く
- 更新が止まっているなら再開の段取りを決める——自社でやるか、任せるかを決める。放置だけは選ばない

この記事を書いた人
Spyral(スパイラル)/「サイトの主治医」運営 代表 佐藤 秀之
2011年創業、東京都八王子市。情報セキュリティコンサルティング会社でシニアコンサルタントを務めた後に独立し、中小企業のWEB集客・サイト運用を14年支援。ゼロトラスト・セキュリティの研究(Zero Trust Resilience Lab)と現場経験をもとに、WordPress保守・脆弱性診断サービス「サイトの主治医」を運営しています。運営者情報 →
本記事の統計データは2026年7月時点の公開情報(Patchstack「State of WordPress Security」、W3Techs、IPA「2024年度中小企業等実態調査」)に基づいています。
