WordPressサイトは今日も狙われている
——中小企業のWeb管理の盲点
世界のWebサイトの40%以上がWordPressで作られています。自社サイトもそうかもしれません。広く使われているということは、それだけ「侵入方法を知っている攻撃者」も多いということ。「制作会社に任せっきりで更新していない」——そういった企業のサイトが、今この瞬間も自動スキャンにさらされています。
なぜWordPressが狙われやすいのか
WordPressは世界中の個人ブログから大手企業のコーポレートサイトまで幅広く使われているCMS(コンテンツ管理システム)です。導入が簡単で、豊富なプラグイン(拡張機能)によって機能を自由に追加できるため、非常に人気があります。
しかしこの「普及率の高さ」が、セキュリティ上の弱点でもあります。
市販の鍵と、職人が一から作った特注の錠前を比べてください。市販の鍵は便利で安価ですが、開け方を知っている泥棒の数も多い。特定の型番の鍵に欠陥が見つかれば、その情報はすぐに広まります。
WordPressも同じです。世界で最も使われているCMSだからこそ、その脆弱性を研究・悪用しようとする人間の数も世界最多。「鍵(WordPress)を使っているからこそ、その鍵の開け方を知っている泥棒が多い」——これがWordPressが狙われやすい本質的な理由です。
攻撃者は人の目で一つひとつサイトを調べているわけではありません。インターネット上のすべてのサイトを自動的にスキャンし、古いバージョンのWordPressや既知の脆弱なプラグインを使っているサイトを自動で発見・侵入しています。「うちの小さいサイトは誰も見ていない」という認識は、完全に誤りです。
主な侵入口——3つの「よくある穴」
① プラグインの脆弱性
WordPressの機能拡張に使われるプラグインは、世界中の開発者が公開しており、その数は6万以上にのぼります。プラグインの品質はまちまちで、セキュリティ上の欠陥(脆弱性)が後から発覚することも珍しくありません。
セキュリティ企業Wordfenceの調査では、WordPressへの攻撃の97%がプラグインの脆弱性を突いたものとされています。プラグインを10個インストールしていれば、そのどれかに穴が開く可能性を常に抱えていることになります。
問題なのは、脆弱性が発見されてもプラグインを更新しなければ修正が適用されないことです。「インストールしたままずっと放置」というサイトは、公開された脆弱性情報をもとに攻撃者が狙い撃ちにします。
② WordPressコア・テーマのバージョン放置
WordPressの本体(コア)やデザインを担うテーマも同様です。脆弱性が修正されたバージョンが公開されても、更新しなければその恩恵は受けられません。「3年前に制作会社に作ってもらったまま」「古いバージョンで動いているがとくに問題ない」——そういった状態のサイトが、攻撃者のリストに載り続けています。
③ 管理画面の認証不備
WordPressの管理画面URLはデフォルトで https://ドメイン名/wp-admin/ です。これは世界中の誰でも知っています。IDとパスワードさえ突破できれば管理画面に入れるため、攻撃者は自動ツールで大量のパスワードを試し続けます(ブルートフォース攻撃)。
・ユーザー名が「admin」のまま(デフォルト値)
・パスワードが短い・単純(「password」「12345678」など)
・二段階認証(2FA)が設定されていない
・管理画面のURLが変更されていない(デフォルトの /wp-admin/ のまま)
・ログイン試行回数に制限がない(何度でも試せる状態)
実際に起きている被害——3つのパターン
① SEOスパムの埋め込み(改ざん)
攻撃者がサイトに侵入した後、見た目を変えずにページの中にスパムリンクや不審なキーワードを大量に埋め込む手口です。サイトオーナーは気づかないまま、Googleに「危険なサイト」と判定されて検索順位が急落します。自社サイトが知らないうちに「カジノ」「薬物」「フィッシング」などのキーワードを含むページになっているケースが実際に多発しています。
② マルウェアの配布場所にされる
侵入されたサイトがウイルス配布の踏み台にされるケースもあります。サイトを訪問した来客のパソコンにマルウェアが自動インストールされる仕掛けを埋め込まれ、気づかぬうちに自社サイトが「ウイルス配布サイト」になります。ブラウザの警告が表示されるようになると、Googleからのサイトへの流入はほぼゼロになります。
③ 顧客情報・個人情報の漏洩
お問い合わせフォームや会員登録機能を持つサイトでは、データベースに蓄積された顧客の氏名・メールアドレス・電話番号などが盗まれるリスクがあります。個人情報保護法のもと、漏洩が発覚した場合は本人への通知・監督機関への報告義務が生じ、信頼回復のコストは計り知れません。
「制作会社に任せたまま」が最も危険な理由
Web制作会社は、サイトを「作る」プロです。しかし「作った後のセキュリティ運用を継続的に担う」ことを契約範囲に含めていないケースがほとんどです。
サイトが完成して納品された瞬間から、更新・管理の責任はサイトオーナーに移ります。しかし多くの中小企業のWeb担当者は「プラグインを更新すると何か壊れそうで怖い」「制作会社に聞けばいいが、費用がかかりそうで連絡しにくい」と感じ、結果的に何年も放置することになります。
・サイトを作ってから1年以上、プラグインやWordPress本体を更新していない
・管理画面のパスワードを制作会社から引き継いだまま変えていない
・管理画面へのログインを複数人で共有している(個人アカウント管理なし)
・定期的なバックアップを取っていない、または取り方を知らない
・サイトに何かあっても「まあ大丈夫だろう」と考えている
攻撃者の自動スキャンは、WordPressのバージョン情報やプラグイン情報を外部から読み取ることができます。「バージョンが古い=既知の脆弱性がある=侵入可能」と自動判定され、数秒以内に攻撃が開始されます。「うちは誰も狙ってこない」という前提が、この仕組みの前では通用しません。
今すぐできる確認——3つのチェックポイント
特別な知識がなくても確認できる項目を優先度順に整理します。管理画面にログインできる方は今すぐ試してみてください。
-
1
WordPressのバージョンとプラグインの更新状況を確認する
管理画面の「ダッシュボード」→「更新」から、WordPressコア・テーマ・プラグインの更新状況を確認できます。「〇件の更新があります」という表示が長期間放置されていないか確認しましょう。更新前にバックアップを取るのが鉄則です。
-
2
管理画面のURLとパスワード強度を確認する
デフォルトの /wp-admin/ のままであれば、URLの変更を検討してください(「WPS Hide Login」等のプラグインで変更可能)。また、現在のパスワードが短い・単純な場合はすぐに変更を。大文字・小文字・数字・記号を混ぜた12文字以上が推奨です。
-
3
外部からの見え方(脆弱性の露出)を診断する
WordPressのバージョン情報はデフォルトで外部から確認できる状態になっています。自社サイトが外部からどう見えているか、どのような情報が露出しているかを把握することが最初の一歩です。Leapsecの無料診断では、ドメインを入力するだけで外部からのリスクを確認できます。
まとめ——「任せっきり」から「把握している」へ
- WordPressは世界シェア40%以上だからこそ、侵入方法を知る攻撃者も世界最多
- プラグインの脆弱性・バージョン放置・管理画面の認証不備が主な侵入口
- サイト改ざん・マルウェア配布・個人情報漏洩が実際に起きている被害
- 「制作会社に作ってもらったまま」という状態が最もリスクが高い
- 攻撃は自動化されており、「小さいサイト」でも例外なくスキャンされている
- まず外部から自社サイトがどう見えているかを「把握する」ことが出発点
自社のWordPressサイト、外から見て大丈夫ですか?
Leapsecの無料診断では、ドメインを入力するだけでSSL・セキュリティヘッダー・外部からの情報露出を即時確認できます。
登録不要・5分・完全無料。まずは現状を把握するところから始めましょう。
結果はメールで届きます。営業電話は一切ありません。
出典・参考
Wordfence WordPress Security Report / W3Techs Web Technology Surveys / 独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威」
執筆:株式会社リープリック(ITインフラ設計・構築・保守 14年)