WordPressは安全か?真実を明らかにします
Joella Dunn
Joella Dunn
John Turner
John Turner
WordPressはインターネットの43%を支えています。多くの主要なニュースメディア、eコマースサイト、中小企業のサイトが同じプラットフォームを共有しています。その規模ゆえに、WordPressはWebソフトウェア史上最大の標的となっています。
それゆえに、セキュリティの問題は非常に複雑になります。
簡単な答え:WordPressコアは安全です。その周辺のエコシステム(プラグイン、テーマ、ホスティングの選択、ユーザーの行動)に、ほぼすべてのリスクが存在します。
実際のデータについて詳しく調べてみました。
主なポイントは次のとおりです:
- WordPressコアは2025年全体でわずか6件の脆弱性しかなく、すべて低程度の深刻度で、すべて迅速に修正されました。プラットフォーム自体は強力なセキュリティ実績を持っています。
- 2025年のWordPressの脆弱性の91%はプラグインで見つかりました。プラットフォーム自体は問題ではありません。通常、その上にインストールされたものが問題です。
- 2025年には、WordPressエコシステムで11,334件の新しい脆弱性が発見されました。これは前年比42%増です。脅威環境は、ほとんどのサイト所有者が認識しているよりも速く変化しています。
- 脆弱性の46%には、公開時にパッチが利用可能ではありませんでした。勤勉なサイト所有者でさえ、自身の過失なくさらされる可能性があります。だからこそ、バックアップと監視はアップデートと同じくらい重要です。
- 有料プラグインは無料のものより自動的に安全とは限りません。2025年には、有料コンポーネントは無料のものより3倍多くの既知の悪用された脆弱性がありました。
- 従来のホスティング防御でブロックされる攻撃はわずか26%です。あなたのホストはあなたのセキュリティプランではありません。
目次
WordPressの脆弱性は?
WordPressが安全かどうかを判断するには、WordPressコアソフトウェアと、プラグイン、テーマ、ホスティング環境といったより広範なWordPressエコシステムの2つを区別することが役立ちます。
それらは非常に異なるストーリーを語っています。
Patchstackの2026年WordPressセキュリティ状況ホワイトペーパーによると、WordPressコアは2025年全体で6件の脆弱性が報告されました。すべて低優先度でした。すべてWordPressセキュリティチームによって迅速に修正されました。
インターネットのほぼ半分を稼働させているプラットフォームとしては、これは強力な実績です。
エコシステムは別の問題です。
2025年には、研究者たちはWordPressプラグインとテーマ全体で11,334件の新しい脆弱性を発見しました。これは、2024年のすでに高い7,966件から42%増加しています。高深刻度の脆弱性(自動化された大規模攻撃で悪用される可能性が高いもの)は前年比113%増加しました。
内訳:それらの脆弱性の91%はプラグインにありました。9%はテーマにありました。WordPressコアは6件でした。
WordPressの優位性は、それを世界最大の標的にしています。また、WordPressセキュリティチームはオープンソースソフトウェアの中で最大かつ最も経験豊富なチームの1つであり、コアのパッチは迅速に到着し、セキュリティ研究者はプラットフォームを常に精査しています。
コアはその注目から恩恵を受けています。プラグインやテーマ、特に小規模でリソースの少ないものは、しばしばそうではありません。
適切に管理されていれば、WordPressは非常に安全になり得ます。WordPressの脆弱性は、システム自体の欠陥というよりも、通常は人的ミスや怠慢によるものです。
ソフトウェアは、あなたが講じない予防策と同じくらい脆弱です。このように考えてみてください。車をエンジンをかけたままロックせずに放置すれば、簡単に盗まれてしまいますよね?
一般的なWordPressのセキュリティ上の懸念事項
WordPressの暗い側面を掘り下げてみましょう。一緒に、このプラットフォームを取り巻くセキュリティ上の懸念を解き明かしていきます。これらの問題をよりよく理解することで、より効果的に対処できるようになります!
1. WordPressソフトウェアが古い
WordPressソフトウェアを最新の状態に保たないことは、空き巣が多い地域で玄関のドアを開けっ放しにしておくようなものです。
テクノロジーは急速に進化しており、サイバー脅威も同様であることを覚えておくことが重要です。WordPressは、セキュリティ上の脆弱性を修正するためにアップデートを開発・リリースしています。
WordPressソフトウェアを定期的に更新しないことで、サイバー犯罪者にこれらの特定された弱点を悪用する自由なパスを与えていることになります。
ウェブサイトを安全に保つために、常にWordPressソフトウェアが最新の状態であることを確認してください。
2. プラグインとテーマが古い
プラグインとテーマは、新しい機能と美観を提供します。しかし、定期的に更新しないと、これらのツールはすぐにセキュリティチェーンの弱いリンクになってしまいます。
WordPressと同様に、プラグインとテーマも継続的にアップデートを受け取ります。これらのアップデートの一部は新機能の追加やパフォーマンスの微調整のためですが、多くはセキュリティ上の脆弱性の修正のためです。
開発者がセキュリティ上の抜け穴を検出すると、通常はアップデートをリリースします。これらのアップデートを使用しないと、ウェブサイトはますます脆弱になります。
プラグインやテーマの古いコードはハッカーに悪用される可能性があり、サイトをセキュリティリスクにさらします。ウェブサイトをお城と想像すると、古いプラグインやテーマは壁の弱い部分のようなもので、敵が侵入するのを待っているだけです。
3. ログイン認証情報の盗難
盗まれたログイン認証情報は、セキュリティ上の大きな懸念事項です。不正な個人があなたのログイン情報にアクセスすると、WordPressの管理ダッシュボードを簡単に制御下に置き、ウェブサイトを変更したり、アクセスをブロックしたりすることさえできます。管理者権限を持っている場合、ハッカーはあなたのサイトに多大な損害を与える可能性があります。
では、これらのサイバー犯罪者はどのようにしてあなたの貴重なログイン情報を手に入れるのでしょうか?
ハッカーはフィッシング攻撃を使用して、ユーザーを騙してログイン情報を漏洩させることがあります。次に、ボットがユーザー名とパスワードを推測しようとするブルートフォース攻撃があり、正しいものを見つけるまで数千もの可能性を試します。
これらのリスクを理解することで、ログイン情報が不正な手に渡るのを防ぐことができます。しかし、もちろん、記事の後半で詳しく説明します。
4. スパム
スパムは、あなたが直面する可能性のあるもう1つの潜在的なWordPressセキュリティの問題です。
コメントセクションをモデレートしないと、無関係な宣伝資料がたくさん届きます。一部のスパムコメントには、マルウェアに感染したサイトへのリンクが含まれている場合があります。
疑いのないサイト訪問者による不用意なクリックが1つあれば十分です。誤って視聴者にマルウェアを公開し、信頼性を低下させる可能性があります。
これはあなたの検索エンジン最適化(SEO)に影響を与え、ランキングを急落させる可能性があります。Eコマースサイトまたはブログのどちらを運営していても、サイトからスパムを削除する必要があります。
しかし、スパムからWordPressサイトを簡単に保護できます。スパムブロッカーをインストールし、スパムコメントがサイトに公開される前に手動で削除するだけで済みます。
5. サプライチェーン攻撃
サプライチェーン攻撃は、ハッカーがWordPress.orgで信頼できるプラグインを購入する、新しい形態のサイバー攻撃です。WordPressはオープンソースなので、バックドア付きのコードを追加できます。その後、ハッカーはユーザーがこの悪意のあるバージョンにプラグインを更新するのを待ちます。
この場合、すでにインストールしているプラグインが信頼できると信じるでしょう。新しいバージョンに更新した後、ハッカーはバックドアを挿入できます。
残念ながら、これらの攻撃は防止するのがはるかに困難です。プラグインの更新を停止しないでください。これは、多くの一般的なセキュリティ上の懸念や一般的なバグを回避するための貴重な方法だからです。
WordPressは通常、悪いプラグインをディレクトリから迅速に削除するため、この問題はそれほど一般的ではありません。ただし、Wordfenceのようなセキュリティプラグインは、プラグインがWordPress.orgから削除された場合にアラートを送信できます。これにより、サイトからプラグインを削除するタイミングがわかります。
サプライチェーン攻撃が発生した場合は、心配しないでください。バックアップを復元し、悪意のあるコードをサイトから即座に削除してください。
6. 低品質なウェブホスティング
低品質なホスティング環境を選択することは、潜在的なWordPressセキュリティ侵害への開かれた招待状です。
ウェブホストは、サイトの強固な基盤を構築します。低品質なホスティング環境には、必要なセキュリティ対策が欠けている可能性があり、サイトが攻撃に対して脆弱になります。
ホストを選択する際に、尋ねるべき重要な質問は次のとおりです。
- 彼らはどのようなレベルのセキュリティを提供していますか?
- SFTPやSSHのようなセキュアな接続を提供していますか?
- ファイアウォールやDDoS(分散型サービス拒否)攻撃からの保護はありますか?
- 最新のPHPバージョンをサポートしていますか?
共有ホスティングは費用対効果が高い(私たちはお得な取引が大好きです)かもしれませんが、セキュリティ上の問題につながる可能性があります。共有ホスティングでは、1つのサイトが感染すると、同じサーバー上の他のサイトも影響を受ける可能性があります。
この問題を解決するために、代わりに専用サーバーの使用を検討することができます。サーバーにサイトが1つしかない場合、自分のセキュリティだけを心配すれば済みます。
WordPressは安全ですか?
WordPress自体は基本的に安全なプラットフォームです。脆弱性を頻繁に修正するセキュリティチームがあります。しかし、プラットフォームはセキュリティの脅威から免れることはできません。
そして、それは必ずしもWordPressのせいではありません。サイバー攻撃は、弱いパスワードや古いプラグインやテーマのような不十分なセキュリティ対策を悪用することがよくあります。
結局のところ、これはサイトの管理方法にかかっています。WordPressサイトの大部分がハッキングされるのは、古いソフトウェアや盗まれたログイン情報が原因です。
このように考えてみてください。家の鍵をかけ、警報器を設置することで、空き巣の可能性を減らすことができます。したがって、シンプルで予防的な対策を採用することで、WordPressウェブサイトのセキュリティを大幅に向上させることができます。
「WordPressは安全ですか?」という質問に答えるなら、はい、安全です。しかし、それはあなたがどれだけ安全にするか次第です。
WordPressのセキュリティを強化する方法
ここまでで、セキュリティについて少し心配になったかもしれません。幸いなことに、サイバー攻撃を防ぐために使用できる多くのセキュリティベストプラクティスがあります。
1. ソフトウェアを更新する
まず、WordPressソフトウェアを最新の状態に保つようにしてください。古いソフトウェアは、ハッカーがセキュリティの抜け穴を悪用するための開かれた招待状のようなものです。
多くのウェブサイト所有者はソフトウェアの更新を忘れています。または、互換性の問題が発生するのではないかと心配して更新を行いません。しかし、更新しないリスクは、潜在的なバグよりもはるかに大きいです。
WordPressのコアソフトウェアと一緒に、テーマとプラグインを更新する必要があります。サイトのどのコンポーネントも、ハッカーが悪用する可能性のある弱いリンクになる可能性があることを忘れないでください。
WordPressソフトウェアを定期的に更新することで、潜在的なサイバーセキュリティの脅威に対するウェブサイトの防御を強化しています。
始め方がわからない場合は、WordPressサイトを更新する方法に関するステップバイステップガイドをお読みください。自動更新の有効化など、さまざまな方法を学ぶことができます!
2. 安全なWordPressホストを使用する
すべてのホスティングプロバイダーが同じように作られているわけではありません。セキュリティ対策により多くのリソースを割り当てるプロバイダーもあれば、そうでないプロバイダーもあります。
安全なホストは通常、Webアプリケーションファイアウォール(WAF)、DDoS保護、マルウェアスキャンなどの組み込みセキュリティを備えています。これらは連携して、ハッカーやその他の潜在的なセキュリティ脅威からウェブサイトを保護します。
安全なWordPressホスティングプロバイダーは、定期的な更新と最新のPHPおよびMySQLバージョンへのサポートを提供します。また、セキュアな接続のためにHTTPSおよびSSL証明書(セキュアソケットレイヤー)を使用しています。
最適なオプションを見つけるのに役立つように、最高のWordPressホスティングサービスの専門家による選び方をご覧ください。
3. 強力なパスワードを使用する
不法侵入者を抑止したい場合は、サイトに強力なパスワードを使用してください。「123456」や「password」のような一般的なオプションは、ハッカーやボットに推測される可能性がはるかに高くなります。
強力なパスワードは複雑である必要があります。大文字と小文字、数字、記号を使用してください。
幸いなことに、新しいWordPressユーザーアカウントには自動生成された強力なパスワードが提供されます。
ただし、ホスティングコントロールパネル、データベース、FTPアカウント、ウェブサイトに関連付けられたメールアドレスにも強力なログインを作成するようにしてください。
誕生日などの明白な個人データの使用は避けてください。また、複数のWordPressインストールでパスワードを再利用しないようにしてください。
パスワードマネージャーの使用は有益です。これにより、パスワードを安全な場所に保管しながら、パスワードを記憶することができます。
4. セキュリティプラグインをインストールする
WordPressにはあらゆるものにプラグインがあり、セキュリティにもあります。これらのツールは、ファイアウォール、二要素認証、その他の便利な機能でサイトを保護できます。
人気のWordPressセキュリティプラグインには、Sucuri、Wordfence Security、Jetpack、Solid Security(旧iThemes)などがあります。
セキュリティプラグインを使用すると、マルウェアスキャン、スパム保護など、幅広い保護対策が得られます。サイトを継続的に監視し、不正なアクティビティの兆候がないか確認し、潜在的な脅威を迅速に通知します。
5. 信頼できるプラグインとテーマのみをインストールする
WordPressのプラグインやテーマは何千もありますが、すべてが良いわけではありません。残念ながら、トロイの木馬のように悪意のあるコードを隠しているものもあります。
では、悪いプラグインやテーマのインストールを避けるにはどうすればよいでしょうか?
信頼できるソースからの製品を使用することをお勧めします。信頼できるソースは、ソフトウェアをより良く維持し、脆弱性を減らし、問題が発生したときに迅速に対応します。
WordPress.orgで、ユーザー評価とレビューを確認してください。また、アクティブなインストールの数も考慮してください。数が多いほど、プラグインまたはテーマが信頼できることを示しています。
WordPressの最新バージョンとの互換性も確保する必要があります。最新のアップデートがあるはずなので、開発者が脆弱性を修正していることがわかります。
どのプラグインやテーマを使用すればよいかわかりませんか?ここに私たちの決定版の選択肢があります:
6. WordPressのログインページを保護する
毎日、ログインページを使用してサイトのバックエンドにアクセスします。これが侵害されると、不正なユーザーがWordPressダッシュボードを表示して、好きなように変更できます。
一部のハッカーは、侵入できるまでパスワードを何度も推測しようとします。これを防ぐために、Limit Login Attempts Reloadedを使用してログイン試行を制限してください。
さらに、二要素認証(2FA)の使用を検討してください。これにより、アクセスが許可される前に二次的な本人確認が求められます。WP 2FAのようなプラグインでこれを行うことができます。
ログインページを完全に非表示にすることも検討できます。すべてのWordPressサイトにはwp-adminまたはwp-loginで終わるログインページがあるため、ハッカーはあなたのサイトにアクセスする方法を知っています。
ログインページを非表示にすることで、ハッキングの試みを回避できます。WPS Hide Loginプラグインをインストールすると、ログインページに即座にアクセスできなくなります。
別のプラグインをインストールしたくない場合は、ウェブサイトのカスタムログインURLを作成することもできます。追加のセキュリティ対策として、ダッシュボードにアクセスできる特定のIPアドレスのみをホワイトリストに登録することを検討してください。
7. ウェブサイトをバックアップする
WordPressサイトがどれほど安全であっても、常にリスクは存在します。サーバーが故障したり、アップデートがうまくいかなかったり、ハッカーが防御を突破したりする可能性があります。
ウェブサイトのバックアップは、あなたの保険証です。サイトが重大なサイバー攻撃を受けた場合、数分で以前の無害な状態に復元できます。
バックアップ戦略の実装は、ロケット科学ではありません。Duplicatorを使用すると、バックアップを作成し、Google DriveやAmazon S3などのクラウドストレージに送信できます。
時間を節約するハックとして、自動バックアップを設定するのが良いでしょう。バックアップスケジュールを一度作成すれば、データの損失を心配する必要はありません。
他のバックアッププラグインとは異なり、Duplicatorは災害復旧ポイントの設定に役立ちます。災害が発生する前に、クリーンでエラーのないバックアップを選択してください。
次に、復旧リンクをコピーします。
サイトが予期せずハッキングされた場合は、このリンクを新しいブラウザウィンドウに貼り付けるだけで済みます。
Duplicatorの復旧ウィザードを使用すると、サイトをオンラインに戻すことができます!完了したら、パスワードをリセットし、セキュリティを強化して、ハッカーが再び侵入できないようにしてください。
WordPressセキュリティに関するFAQ
2026年のWordPressは安全か?
WordPressコアは安全であり、2025年には低程度の脆弱性が6件報告されただけで、すべて迅速に修正されました。プラグインやテーマを含む、より広範なWordPressエコシステムこそが、セキュリティリスクの99%が存在する場所です。2025年には、プラグインとテーマ全体で11,334件の新たな脆弱性が発見され、前年比42%増加しました。WordPressサイトが安全かどうかは、ほぼ完全に、どのプラグインを実行しているか、それらがどれだけ最新か、そしてどのような監視および復旧システムを導入しているかに依存します。
なぜハッカーはWordPressを標的にするのですか?
規模。WordPressはインターネットの43%を支えており、広く使用されているプラグインの単一の脆弱性が同時に数百万ものサイトに悪用される可能性があります。攻撃は自動化されています。ボットは、特定の脆弱なプラグインバージョンを実行しているサイトを継続的にスキャンしています。通常、あなたのサイトを特別に標的にしているわけではありません。未修正のソフトウェアを実行しているプール内の任意のサイトを見つけることが目的です。
WordPressサイトのセキュリティにおける最大の危険は何ですか?
WordPressウェブサイトのセキュリティに対する最大の脅威は、ソフトウェア、プラグイン、テーマが最新の状態でないことです。この怠慢により、悪意のある攻撃者が既知の脆弱性を悪用してサイトに侵入し、しばしば壊滅的な結果をもたらします。
WordPressは自動的に更新されますか?
WordPressはデフォルトで、マイナーなセキュリティおよびメンテナンスリリース(例:6.7.1から6.7.2)を自動的に適用します。メジャーバージョンリリースには手動での承認が必要です。プラグインとテーマはデフォルトでは自動更新されません。wp-adminのプラグイン画面からプラグインごとの自動更新を選択するか、管理ツールを使用して複数のサイトでこれを処理できます。
WordPressサイトがすでに侵害されているかどうかを知るにはどうすればよいですか?
一般的な兆候としては、予期しないリダイレクト、見慣れない管理者アカウント、自分で作成していないページや投稿、検索トラフィックの突然の低下、ホスティングプロバイダーからの悪意のあるアクティビティに関する警告などがあります。侵害前にWordfenceやSucuriのようなセキュリティプラグインを実行しておけば、これらのほとんどについて自動的に警告されます。侵害が疑われる場合は、感染したサイトを手動でクリーンアップしようとするのではなく、既知のクリーンなバックアップから復元してください。
あなたのサイトは、あなたの最後のバックアップと同じくらいしか安全ではありません
強力なセキュリティ設定は、侵害の可能性を減らします。強力なバックアップ設定は、それでも侵害が発生した場合の損害を制限します。毎日何千ものWordPressサイトが侵害されており、復旧準備をオプションとして扱うのは戦略ではありません。
Duplicator Proは、150万人のWordPressプロフェッショナルがこれらの両方を処理する方法です。すべての更新の前に、クラウドストレージへの自動スケジュールバックアップ。クラウドから直接ワンクリックで復元でき、再アップロードは不要です。
WordPressが完全にロックアウトされている場合でもサイトを復元できる災害復旧URL。そして、ライブサイトに影響を与える前にプラグインの更新をテストできるワンクリックステージング。
この投稿を読んでWordPressサイトの保護について考えるようになったなら、これらのガイドは次に読む価値があります。
- WordPressサイトのクリーンアップ方法
- ウェブサイトをハッカーから保護する方法
- WordPressセキュリティチェックリスト:サイトを保護するためのステップバイステップガイド
- ハッキングされたWordPressサイトを復旧する方法
- あなたのWordPressサイトは明日消えるかもしれません(これをしない限り)
