WordPressの脆弱性によるリスクとは?チェック方法と対策
WordPressはオープンソース型のCMSであり、自由度が高くカスタマイズ性に優れているのが特徴です。世界でもっとも利用されているCMSで、多様なWebサイトを設計できます。
しかしオープンソース型は構成システムが公開されているため、悪意のあるハッカーにも狙われやすく、過去には脆弱性が原因によるネット攻撃の事例もあります。
そこで本記事では、WordPressの脆弱性について詳しく解説し、Webマーケティングの担当者でも始められるセキュリティ対策方法を解説します。
■合わせて読みたい資料
「CMS選びが大変…!」という方に好評!担当者様の代わりに徹底比較してまとめました。
→BtoB企業向け!CMS比較ガイド
目次[非表示]
WordPressの脆弱性によるリスク
世界で最も利用されているCMSであるWordPressは、その普及率ゆえに常にサイバー攻撃の標的となっています。
独立行政法人情報処理推進機構(IPA)が2026年1月に発表した「情報セキュリティ10大脅威 2026」においても、「システムの脆弱性を突いた攻撃」は組織にとって回避できない重大な脅威として上位にランクインし続けています。
特に近年では、以下のような「攻撃の高度化・高速化」が顕著です。
ゼロデイ攻撃の増加:修正プログラムが公開される前の隙を突く攻撃が常態化しています。
AIによる攻撃の自動化:2026年版で新たにランクインした「AIの利用をめぐるサイバーリスク」に関連し、脆弱性を探す作業や攻撃メールの作成にAIが使われ、攻撃の頻度と精度が飛躍的に高まっています。
攻撃までのタイムラグ短縮:脆弱性が公表されてから攻撃が始まるまでの時間は、いまや「数日」ではなく「数時間」単位になっています。
企業サイトが一度でも不正アクセスを受ければ、サイト改ざんによるウイルス配布や個人情報の漏洩を招き、信用の失墜だけでなく多額の損害賠償に発展する恐れがあります。「うちは大丈夫」という過信を捨て、最新の脅威に基づいた「攻めの防御」を行うことが、現代のWeb担当者には求められています。
WordPressサイトの脆弱性をチェックする方法
WordPressを利用したWebサイトの脆弱性をチェックする方法は、以下4つです。
- Google Search Consoleでセキュリティ問題を確認する
- WordPressのサイトヘルス機能を使う
- 脆弱性診断サービスを使う
- JVNなどで最新の脆弱性情報をキャッチアップする
以上のチェック方法はそれぞれで検知できる脆弱性は異なるため、可能であればすべて行うのがおすすめです。
具体的にどのような機能なのかを以下で解説します。
Google Search Consoleでセキュリティ問題を確認する
Webマーケターにとって最も身近なツールである「Google Search Console」は、セキュリティチェックにも有効です。
確認方法:管理画面の左メニューにある「セキュリティと手動による対策」>「セキュリティの問題」をクリックします。
メリット:サイトがハッキングされたり、マルウェア(悪意のあるプログラム)が検出されたりした場合、Googleから直接警告が表示されます。
WordPressのサイトヘルス機能を使う
WordPress 5.2以降に標準搭載されている機能です。管理画面からすぐに確認できます。
確認方法:「ツール」>「サイトヘルス」を選択。
チェックポイント:「致命的な問題」が表示されている場合は即座に対応が必要です。特に「古いPHPバージョン」や「停止中のプラグイン」の指摘は、脆弱性に直結するため注意しましょう。
サイトヘルス機能を開くと、現在のWebサイトの状態が表示され、どのような改善を行うべきかを提案してくれます。状態が良好でも改善提案は表示されますので、可能であれば対応しておくのがおすすめです。
無料で簡単にチェックできるので、すぐに確認してみましょう。
脆弱性診断サービスを使う
「KYUBI」やセキュリティ企業Sucuri社が提供している「Sitecheck」のような、脆弱性を無料で診断できるサービスの利用もおすすめです。
例えば、Sitecheckであれば、サイトにアクセスして自社サイトのURLを入力するだけで脆弱性の状態をチェックできます。
状態の確認画面は分かりやすく表示されますが、表記のデフォルトは英語のため翻訳して確認するといいでしょう。
JVNなどで最新の脆弱性情報をキャッチアップする
「JVN(Japan Vulnerability Notes)」とは、日本で利用されているソフトウェアやCMS、アプリケーションなどの脆弱性に関する情報と対策情報を提供しているポータルサイトです。
JVNは独立行政法人情報処理推進機構 (IPA)が共同で運営しており、信頼性の高い情報源と言えるので、WordPress含めたソフトウェアの脆弱性情報をチェックするのにおすすめです。
例えば以下の画像のように、WordPressのプラグインに脆弱性が発見されたなどの情報を得られます。
出典:JVN(Japan Vulnerability Notes)
脆弱性に対する知識や情報を常に最新の状態に保つためにも、こまめにJVNの情報を確認しておくといいでしょう。
WordPressの脆弱性から守る8つの対策
現代の高度化したサイバー攻撃(AIによる自動攻撃や、修正プログラム公開前のゼロデイ攻撃など)からサイトを守るためには、従来の対策を一段階引き上げる必要があります。以下の8つの対策を、優先度の高い順に実施しましょう。
- 【最優先】2要素認証(2FA)の導入
- アップデートを最新の状態に保つ
- PHPのバージョンを適切に管理する
- 不要なプラグイン・テーマの「完全削除」
- ログイン画面へのIP制限
- パスワードは解析されにくい文字列を使う
- 常時SSL化とサーバーセキュリティ(WAF)
- バックアップを取っておく
専門知識のないWebマーケターでも対応可能な基本的な対策もあるので、ぜひ参考にしてみてください。
①【最優先】2要素認証(2FA)の導入
IDとパスワードが盗まれても、スマートフォンのワンタイムコードなどがなければログインできない仕組みです。AIを用いた高度な総当たり攻撃を防ぐための「最後の砦」となります。
導入方法:「Wordfence Security」や「miniOrange 2-Factor Authentication」などのプラグインを利用することで、専門知識がなくても導入可能です。
②アップデートを最新の状態に保つ
WordPressは不定期でアップデートが行われます。旧バージョンのままだと脆弱性を狙われやすくなり、不正アクセスやサイト情報改ざんなどの標的になります。
ポイント:WordPress本体だけではなく、プラグインやテーマのアップデートも必ず行いましょう。実際に、プラグインの放置が原因で官公庁の関連サイトがハッキングされた事例も発生しています。
③PHPのバージョンを適切に管理する
WordPressを動かしているプログラミング言語「PHP」にもサポート期限があります。古いバージョン(7系以前など)はセキュリティ上の欠陥が放置されているため、サーバーの管理画面から最新の安定版(8.x系)へ切り替えてください。
注意:切り替えにより古いプラグインが動かなくなる場合があるため、事前にバックアップを取りましょう。
④不要なプラグイン・テーマの「完全削除」
長期間使われていないテーマやプラグインは脆弱性を含んでいる場合が多く、格好のハッキングリスクとなります。
ポイント:単に「無効化」するだけでは、サーバー内にファイルが残っているため攻撃の足がかりにされます。「使っていないものは削除する」ことを徹底してください。
⑤ログイン画面へのIP制限
特定のIPアドレスのみログインできるよう設定するのは、セキュリティ対策に効果的です。自社にしか管理画面にログインできないように設定すれば、外部からの不正ログインリスクを軽減できます。
レンタルサーバーを利用している場合、IPアドレス制限の設定は各サーバー会社ごとのアカウント内で可能です。代表的なレンタルサーバー3社の設定方法は、以下を参考にしてみてください。
▼参考
「wp-config.php」の権限設定
WordPress内のデータベース情報を保有する「wp-config.php」というファイルが不正アクセスされると、WordPress全体を乗っ取られてしまう可能性があります。そのため、wp-config.phpファイルの権限を変更して、管理者以外のアクセスを禁止することでセキュリティ対策が可能です。
wp-config.phpファイルの権限変更の手順は以下の通りです。
- FTPソフトウェア(FFFTP or FileZilla)でWordPressにアクセス
- 「public_hrml」フォルダにある「wp-config.php」を選択
- サーバー属性を「現在の属性(FFFTP)」または「属性値を600(FileZilla)」に変更
またwp-config.phpと同じファイルにある「.htaccess」を編集してアクセス権限を変更する方法もあります。.htaccessファイルをダウンロードし、テキストエディタで以下のコードを記述します。
<Files wp-login.php>
Order deny,allow
Deny from all
Allow from (固定IPアドレスを指定)
</Files>
注意点として、コードは必ず改行まで含めて記述してください。また、ネットワーク環境が固定IPアドレスでない場合は指定できないので、編集前に確認しておくようにしましょう。
⑥パスワードは解析されにくい文字列を使う
ログインパスワードを複雑な文字列で設定する対策は基本です。しかし、自社名やサービス名をパスワードに入れ込む企業も多く、解析されやすい文字列を設定しているケースもあります。
解析されにくいパスワードの特徴として、以下を参考にして確認してみましょう。
- 企業名やサービス名を使用していない
- 英単語をそのまま使用していない
- 大文字小文字のアルファベット・数字・記号が混在している
- 最低でも8〜16文字程度の文字列で構成されている
よくある解析されやすいパスワード例として挙げられるのは「企業名+設立年」もしくは「企業名+サービスローンチ時期」です。
第三者に推測されやすい事業内容などとはまったく関係のない複雑な文字列をパスワードに採用しましょう。
⑦常時SSL化とサーバーセキュリティ(WAF)
SSL化とは、ドメインのURL冒頭を「http」から「https」に変更する設定を言います。
httpsにすることでWebページを閲覧するユーザーとの通信を暗号化でき、第三者からのデータ改ざんや盗聴、なりすましを未然に防げます。
反対にhttpsにしていないと、Webページ表示後に警告表示が出るため、ユーザーが危険に感じて離脱してしまう可能性もあります。また、SEOの観点から見てもSSL化は必要な施策なので、現場で設定されていない場合はすぐに設定するようにしましょう。
レンタルサーバーを利用している場合は、各サーバー会社のアカウントからSSL化の設定を簡単に行えます。
メリット:ユーザーに安心感を与えるだけでなく、SEO(検索エンジン最適化)の観点からも必須の施策です。
WAFの活用:サーバー会社が提供する「WAF(ウェブアプリケーション・ファイアウォール)」も有効化しましょう。不正な通信をリアルタイムで遮断できます。
⑧ 定期的なバックアップの自動化
万が一、攻撃を受けてサイトが改ざんされた場合、元の状態に復旧させる手段がなければ事業が止まってしまいます。WordPressのシステムデータのバックアップは、以下2つの観点から、必ず行っておきましょう。
- ハッキングが起こった際にサーバー内の全データを削除する必要があるため
- サイト内の編集ミスや何らかの不具合により修復が必要になる可能性があるため
また、ハッキングに対処してリセットしたあとの注意点として、バックアップを復旧させる際に、改ざんされたデータがないかを必ず確認してください。確認方法としては、HTMLソースと比較する方法やセキュリティソフトでスキャンするなどの方法で確認できます。
バックアップはセキュリティ対策でも基本的な施策ですが、最新バージョンに保っておくことは忘れがちです。サイト情報を編集したり何かしらの更新を行った際は、こまめにバックアップを取るようにしましょう。
運用法:「UpdraftPlus」などのプラグインを使い、外部ストレージ(Googleドライブなど)へ毎日自動で保存されるよう設定しましょう。
WordPressの脆弱性が不安なら、有料CMSという選択肢も
ここまで解説した通り、WordPressを安全に運用するには、本体・プラグイン・PHP・サーバー設定など、多岐にわたる専門的な保守を「常に最新の状態」で行い続ける必要があります。
WordPressを利用するうえで、必要なセキュリティ対策が難しいと感じる場合や脆弱性に不安が残る場合は、有料のCMSを導入するのもいいでしょう。
特に、AIによる自動攻撃が一般化した現代では、一度の対策漏れが取り返しのつかない損害を招くリスクもあります。もし、こうした「セキュリティへの不安」や「運用の工数」がマーケティング業務の重荷になっているのであれば、強固なセキュリティが標準装備された「有料CMS」への移行を検討するタイミングかもしれません。
▼参考資料
→意外と難しい? WordPressの向き不向きと、CMSのベストな選び方
脆弱性によるセキュリティ対策が技術的に難しい場合は、サイト運用を外注する方法もあります。ただし、外注先によっては更新を行う際のコミュニケーションに工数がかかってしまったり、すぐに対応できず更新に時間がかかったりする場合も考えられます。
可能な限り自社で管理しやすい体制を整えるためにも、有料CMSを導入するのもおすすめです。
例えば、弊社の提供するCMS「ferret One」の場合、脆弱性診断を毎週定期的に実施しており、脆弱性が見つかり次第修正と対策強化を行っています。 また、月初にアップデートされるシステムのセキュリティリスクを見つけられるよう運用されているので、脆弱性への心配も解消されるでしょう。
セキュリティを「仕組み」で解決する「ferret One」
弊社の提供するBtoBマーケティングツール「ferret One」は、Web制作からリード獲得までを一気通貫で支援するだけでなく、企業の信頼を守るための徹底したセキュリティ基盤を備えています。
毎週の自動脆弱性診断と迅速なアップデート
専任のエンジニアチームが毎週、システム全体の脆弱性診断を実施。新たな脅威が見つかった際も、ユーザー側で作業することなくプラットフォーム側で一括アップデートが行われるため、常に最新の安全な環境を利用できます。WAF(ウェブアプリケーション・ファイアウォール)標準搭載
SQLインジェクションやクロスサイトスクリプティングなど、Webアプリケーションを狙った攻撃を水際で遮断。複雑なサーバー設定を自社で行う必要はありません。高度な認証機能(SAML認証・MFA)に対応
2026年の最新セキュリティ要件に対応し、SAML認証によるシングルサインオン(SSO)や多要素認証(MFA)が利用可能です。退職者のアカウント消し忘れによる不正アクセスや、ログイン情報の漏洩リスクを最小限に抑えます。
脆弱性の不安を解消し、マーケティング本来の仕事へ
セキュリティ対策は「やって当たり前」ですが、Web担当者にとって最も大切な仕事は、サイトを通じて成果を出すことです。
「アップデートの通知に怯えながら運用する」毎日から脱却し、強固な守りはシステムに任せ、貴社の大切な時間を「戦略立案」や「コンテンツ制作」に使いませんか?
>ferret Oneサービス紹介資料のダウンロード【無料】はこちら
