WordPress放置のセキュリティリスクと対策

WordPressで作った会社のホームページ、最後に更新したのはいつだろう？ もし1年以上放置しているなら、そのサイトはすでに攻撃者の標的リストに入っている可能性がある。2024年だけで8,200件以上のWordPress関連の脆弱性が報告されており、放置サイトは「鍵のかかっていない玄関」と同じ状態だ。

この記事では、WordPress放置で実際に起きる被害と、非エンジニアでも今すぐできるセキュリティ対策5つを解説する。

なぜWordPressが狙われるのか

WordPressは世界のWebサイトの約43%、日本の企業サイトの約8割で使われているCMSだ。この 圧倒的なシェアの大きさ こそが、攻撃者に狙われる最大の理由になっている。

1つの脆弱性を見つければ、何百万ものサイトを同時に攻撃できる——攻撃者にとってこれほど効率の良いターゲットはない。

数字で見るWordPressのリスク

つまり、WordPressのセキュリティリスクの大部分はプラグインにある ということだ。WordPress本体のセキュリティは年々向上しているが、サードパーティ製のプラグインやテーマが弱点になっている。

放置すると何が起きるのか：実際の被害パターン

パターン1: サイト改ざん

トップページが全く別のコンテンツに書き換えられる。最近はもっと巧妙な手口が増えていて、見えない場所にマルウェアを仕込まれ、気づかないまま被害が広がる「がん」のような改ざん が報告されている。

具体的には:

• 検索結果に表示されるタイトルやURLだけが書き換えられ、詐欺サイトに誘導される（SEOスパム）
• サイト内に不正なリダイレクトが埋め込まれ、訪問者が別のサイトに飛ばされる
• 管理者がログインしているときは正常に表示されるため発覚が遅れる

パターン2: マルウェア配布

改ざんされたサイトにアクセスした訪問者のPCに、マルウェアが配布される。あなたのサイトが「加害者」になる 最悪のパターンだ。

Googleがマルウェアを検知すると、検索結果に「このサイトは安全ではありません」という警告が表示される。こうなると訪問者は激減し、信頼回復には数ヶ月以上かかる。

パターン3: 個人情報漏洩

お問い合わせフォームや会員登録の情報が抜き取られる。2025年には、WooCommerce拡張プラグインの偽物を通じて顧客のクレジットカード情報が6ヶ月間にわたり外部に送信され、約1,200件が流出した事例が報告されている。

パターン4: 共有サーバーでの連鎖感染

レンタルサーバーでは1台の物理サーバーに複数のユーザーが同居している。1つのサイトが感染すると、同じサーバー上の他のサイトにも被害が広がるケースがある。

今すぐできるセキュリティ対策5つ

エンジニアでなくてもできる対策を、優先度順に5つ紹介する。

対策1: WordPress本体・プラグイン・テーマを更新する

これが最も重要で、最も簡単な対策 だ。

1. WordPress管理画面にログイン（https://ドメイン/wp-admin/）
2. ダッシュボードの「更新」をクリック
3. WordPress本体、プラグイン、テーマをすべて最新版に更新

対策2: 使っていないプラグインを削除する

プラグインは「停止」ではなく 「削除」 がベスト。停止しただけではファイルがサーバーに残り、脆弱性を突かれる可能性がある。

確認手順:

1. 管理画面 → プラグイン一覧を開く
2. 「停止中」になっているプラグインをすべて削除
3. 有効化しているプラグインも、本当に必要かひとつずつ確認

僕の経験では、中小企業サイトにインストールされているプラグインの半分以上が実際には使われていないことが多い。不要なプラグインは攻撃の入口を増やすだけなので、思い切って削除しよう。

対策3: セキュリティプラグインを導入する

以下の3つから1つ選んで導入しよう。複数入れると競合するので、1つだけ にする。

特にこだわりがなければ、SiteGuard WP Plugin がおすすめだ。日本語で設定でき、管理画面のURLを変更する機能がある。これだけで不正ログインの試行を大幅に減らせる。

対策4: 管理者パスワードを強化する

驚くほど多くのWordPressサイトが、「admin」 というユーザー名と簡単なパスワードで運用されている。

• ユーザー名「admin」は絶対に使わない（新しい管理者ユーザーを作成してadminを削除）
• パスワードは12文字以上で、英大文字・小文字・数字・記号を組み合わせる
• パスワード管理ツールを使って安全に管理する

対策5: 自動バックアップを設定する

万が一被害に遭っても、バックアップがあれば復旧できる。

おすすめプラグイン: UpdraftPlus（無料版で十分）

1. プラグイン → 新規追加 → 「UpdraftPlus」で検索してインストール
2. 設定 → UpdraftPlus → スケジュールを「毎週」に設定
3. 保存先をGoogleドライブやDropboxに設定

これで、週1回の自動バックアップが実行される。

「放置サイト」のチェックリスト

以下に1つでも当てはまったら、すぐに対策を始めよう。

• WordPress本体のバージョンが最新でない
• プラグインに「更新あり」の通知が出ている
• 使っていないプラグインが「停止中」のまま残っている
• 管理者のユーザー名が「admin」
• パスワードが8文字以下、または他のサービスと使い回し
• セキュリティプラグインが入っていない
• バックアップを取ったことがない
• SSL証明書が期限切れ（ブラウザに「保護されていない通信」と表示される）

自分で対策するのが難しい場合

「管理画面にログインできない」「操作が不安」という場合は、無理にやる必要はない。WordPress保守の専門サービスや、ホームページ運営代行を利用しよう。

• ログイン情報がわからない → Web担当者が退職！引き継ぎなしの対処法
• 操作方法がわからない → 会社のHPが更新できない時の解決策
• 費用感を知りたい → HP運営代行の費用相場と選び方ガイド

WordPress放置のリスクは、ホームページ全体の放置リスクの中でも特に深刻だ。全体像については「ホームページ放置が危険な4つの理由」も参照してほしい。

よくある質問

Q. WordPressのバージョンが古すぎて、更新ボタンを押しても最新にならない

PHP（サーバー側のプログラミング言語）のバージョンが古い可能性がある。レンタルサーバーのコントロールパネルからPHPバージョンを7.4以上（推奨は8.1以上）に変更してから、WordPress本体の更新を試そう。PHP変更後にサイトが崩れた場合は元のバージョンに戻して、プロに依頼するのが安全。

Q. すでにハッキングされていたらどうする？

まずサイトを一時的に非公開にする（サーバーのコントロールパネルからメンテナンスモードに切り替える）。次にサーバー会社に連絡して被害状況を確認。バックアップからの復旧、全パスワードの変更、マルウェアの除去が必要になる。個人情報漏洩の可能性がある場合は弁護士にも相談しよう。

Q. セキュリティプラグインを入れれば安全？

プラグインだけでは不十分。WordPress本体・プラグイン・テーマの定期的な更新が前提で、セキュリティプラグインはその上に追加する「鍵」のようなもの。鍵をかけても窓が開いていたら意味がない。

Q. WordPressをやめて別のCMSに乗り換えるべき？

WordPress自体が悪いわけではない。適切に更新・管理すれば十分安全。ただし「更新を続ける体制がない」のであれば、Wix、STUDIO、Jimdoなど、セキュリティアップデートがサービス側で自動適用されるノーコードツールへの乗り換えも一つの選択肢だ。

Q. 共有サーバーは専用サーバーより危険？

共有サーバーでは他のユーザーのサイトから感染が広がるリスクがある。ただし、大手レンタルサーバー（エックスサーバー、さくら等）はアカウント間のセキュリティ隔離をしっかり行っている。自社サイトの更新を適切に行っていれば、共有サーバーでも問題ない。

Q. 無料のセキュリティプラグインで十分？

中小企業のコーポレートサイトであれば、無料版で十分な対策ができる。SiteGuard WP PluginもWordfence Securityも無料版の機能で基本的なセキュリティは確保できる。有料版はより高度なファイアウォールやリアルタイムスキャンが必要な場合に検討しよう。

まとめ

WordPress放置の最大のリスクは、被害に遭ったことに気づかない こと。改ざんやマルウェアの埋め込みは、管理者が見ても分からないほど巧妙になっている。

今すぐやるべき5つの対策:

1. WordPress・プラグイン・テーマを最新版に更新
2. 使っていないプラグインを削除
3. セキュリティプラグイン（SiteGuard推奨）を導入
4. 管理者パスワードを強化
5. 自動バックアップを設定

この5つをやるだけで、セキュリティリスクは劇的に下がる。30分あれば全部完了する作業だ。今日のうちにやってしまおう。