はじめに:数字で見るWordPressのセキュリティリスク
WordPressは世界のWebサイトの約43%で利用されている最も人気のあるCMSです[出典:W3Techs]。しかし、その人気ゆえに、サイバー攻撃の標的になりやすいという現実があります。
Wordence の「2024 Annual WordPress Security Report」によると、Wordfenceは2024年の1年間で540億件もの悪意あるリクエストをブロックしたそうです。しかし、「攻撃されている」ということはWordPressの脆弱性を意味しません。攻撃者のモチベーションは適切に管理されていない脆弱なWordPressサイトを釣り上げることにあるのです。100万回攻撃して1回成功すれば攻撃者にとっては十分なのです。
脆弱なWordPressの特徴
クラックされるWordPressの共通点
攻撃者に狙われやすいWordPressサイトには、明確な特徴があります。
技術的な脆弱性
- WordPress本体が長期間更新されていない
- PHPバージョンが7.4以下(既にサポート終了)
- SSL証明書の未導入または期限切れ
- 既知の脆弱性を持つプラグインの継続使用
危険な設定状態
- レンタルサーバーのクイックインストールを開始したまま放置
- ローカル設定のまま使用(認証情報がadmin/passwodなど)
- wp-config.phpのデバッグモードが本番環境で有効
- XMLRPCが無防備に公開されている
- ファイルパーミッションの不適切な設定(777など)
プラグイン関連のリスク
- 更新が2年以上止まっているプラグインの使用
- nulledプラグイン(違法コピー版)の使用
- 管理しきれないほど多くのプラグインをインストール
- 未使用プラグインの放置(無効化だけで削除していない)
なぜ脆弱なWordPressが生まれるのか
組織的な要因
多くの企業では、WordPressサイトの立ち上げ時には予算と人員を投入しますが、運用フェーズに入ると「動いているから大丈夫」という誤った認識のもと、セキュリティ対策が後回しになりがちです。
根本的な問題は専門知識の不足にあります。社内にWordPressのセキュリティに詳しい人材がいないため、適切な対策が取れません。さらに深刻なのは、担当者が退職した際の引き継ぎ失敗です。管理方法が不明になり、誰もサイトに触れられない状態で放置されているケースも少なくありません。
予算面でも、初期構築には費用をかけても、保守・運用費用が計上されていないことがよくあります。「うちは狙われない」という根拠のない楽観論も相まって、セキュリティ投資は常に後回しにされてしまうのです。
技術的な要因
技術面では「更新への恐怖」が大きな障害となっています。「更新したら壊れるかもしれない」という不安から、古いバージョンのまま使い続けるサイトが後を絶ちません。この恐怖の背景には、バックアップ体制の不備があります。復旧手段がないため更新に踏み切れず、テスト環境もないため本番環境でしか動作確認ができません。
プラグイン同士の依存関係が複雑化していることも問題を深刻化させています。どのプラグインがどのプラグインに影響するか把握できず、結果として「触らぬ神に祟りなし」という消極的な運用に陥ってしまうのです。
クラック被害の実態
直接的な被害
WordPressサイトがクラックされた場合、まず最初に発生するのがデータ漏洩被害です。顧客の氏名やメールアドレス、購買履歴といった個人情報が流出すれば、個人情報保護法違反による行政指導や課徴金のリスクに直面します。特にEU圏でビジネスを展開している場合、GDPR違反により最大で年間売上高の4%または2,000万ユーロという巨額の制裁金が科される可能性があります[出典:外務省によるGDPR条項の訳文]。
サイト改ざんによる被害も深刻です。攻撃者はサイトをマルウェア配布の拠点に変え、訪問者を悪意のあるサイトへリダイレクトしたり、気づかないうちに暗号資産のマイニングスクリプトを埋め込んだりします。また、SEOスパムと呼ばれる手法で、大量の隠しリンクを挿入し、サイトの検索順位を破壊することもあります。
さらに、システムリソースの悪用も見過ごせません。乗っ取られたサーバーはDDoS攻撃の踏み台として利用され、大量のスパムメール送信サーバーと化し、結果として他サイトへの攻撃拠点となってしまいます。これらは単なる技術的な問題ではなく、企業の社会的責任に関わる重大な問題なのです。
間接的な被害
WordPressサイト自体への直接的な被害以上に深刻なのが、ビジネスへの間接的な影響です。
まず売上への影響は計り知れません。サイトが改ざんされると、Googleは即座に検索結果から除外し、「このサイトは危険です」という警告を表示します。この結果、サイトへの流入は激減し、平均73万円の損害額が発生します[出典: IPA 2024 年度 中小企業における情報セキュリティ対策に関する実態調査- 報告書 -]。ECサイトであれば1日あたり数百万円規模の機会損失が発生することも珍しくありません。さらに、完全復旧までには平均6日間を要するため、稼働が重要なサイトほどその間の累積損失は甚大なものとなります。
信用失墜の影響はさらに長期にわたります。一度「セキュリティ対策が甘い企業」というレッテルを貼られると、ブランドイメージは大きく毀損し、取引先からの信頼も失われます。fasly グローバル・セキュリティ・リサーチ・レポートによれば、一度失った信頼を回復するには平均8ヶ月かかるとされており、SNSで悪評が拡散された場合、その影響は予測不可能な規模に広がります。
さらに深刻なのは、自社が加害者となってしまうリスクです。クラックされたサイトは攻撃者の踏み台として利用され、知らぬ間に他社への攻撃に加担することになります。大量のスパムメール送信に使われればブラックリストに登録され、正常なメール送信すらできなくなります。最悪の場合、被害を受けた企業から法的責任を追及される可能性もあるのです。
実例(業界別)
- 製造業A社:ランサムウェア被害により3週間の業務停止、復旧費用3,000万円
- ECサイトB社:10万件の顧客情報流出、損害賠償請求総額1億円超
- メディア企業C社:改ざんによる誤情報配信で広告主が離脱
攻撃者はどのようにWordPressを狙うのか
大量自動攻撃の実態
現在の攻撃手口は大きく2つのパターンに分けられます。一つは、自動化されたツールを使ってインターネット上の何万ものWordPressサイトを無差別に攻撃する「ばらまき型」。もう一つは、近年増加している標的型攻撃で、企業のWebサイトをランサムウェア侵入の足がかりとして悪用するケースです。
ランサムウェア攻撃では、攻撃者はあらゆる脆弱性を突いて企業ネットワークへの侵入を試みます。管理が不十分なWordPressサイトも、その侵入経路の一つとなり得ます。Webサイトから社内ネットワークへアクセスできる環境では、WordPressの脆弱性が企業全体のセキュリティホールになる可能性があるのです。
攻撃の基本プロセス
1. 脆弱性の探索(手当たり次第のスキャン)
攻撃者は、サイトがWordPressかどうかを確認する前に、既知の脆弱性を持つパスに片っ端からアクセスを試みます。たとえば、特定のドメインに対し、次のようなリスト型攻撃を行うのです。
/.git/config(Git設定ファイルの露出)/timthumb.php(古い画像処理ライブラリの脆弱性)/wp-config.php.bak(バックアップファイル)/administrator/(Joomlaなどの管理画面)/phpmyadmin/(データベース管理ツール)/backup.sql、/database.sql(SQLダンプファイル)
これらはCMSの種類に関係なく機械的に試行され、反応があったサイトのみが次の攻撃対象となります。
2. WordPress特有の攻撃
脆弱性スキャンで反応があったサイト、または大量スキャンとは別に、WordPress特有の攻撃も並行して行われます:
- ブルートフォース攻撃(
/xmlrpc.phpへのパスワード総当たり) - 既知のプラグイン脆弱性の悪用
- REST APIを使った情報収集(
/wp-json/wp/v2/users/) - SQLインジェクション、クロスサイトスクリプティング(XSS)
3. 自動攻撃の実行
発見した脆弱性に対して、自動化された攻撃ツールが実行されます。成功率は低くても、大量のサイトに対して実行することで、一定数の侵入に成功します。
攻撃者のツールと手法
よく使われる攻撃リスト
攻撃者は以下のような「攻撃リスト」を持ち、機械的に試行します。
1. デフォルトログイン情報リスト
ジョーパスワード(アカウント名とパスワードが同じ)や他のサービスから流出したアカウント情報などが用いられます。
admin / password
admin / 123456
admin / admin
administrator / administrator
[サイトドメイン名] / [サイトドメイン名]
2. 脆弱なプラグインリスト
最新バージョンによって脆弱性が塞がれたプラグインであっても、攻撃者には関係ありません。古いバージョンを使いつづけているWordPressサイトに出くわすまで攻撃を繰り返せば良いのです。
- File Manager(特定バージョン):任意ファイルアップロード
- Contact Form系プラグイン:SQLインジェクション
- バックアッププラグイン:設定ファイル露出
- SEOプラグイン:権限昇格の脆弱性
3. 狙われやすいファイルパス
先述した通り、以下のような「開発・運用の過程で生まれがちなファイル」に対しても攻撃が行われます。
/wp-config.php.bak
/wp-config.php.save
/.git/config
/backup.sql
/database.sql
/wp-content/uploads/backup/
自動化ツールの脅威
こうした攻撃は以下のようなツールを使って自動化されています。
- WPScan:WordPressの脆弱性スキャナー(本来はセキュリティ診断用)
- Botnet:数千台の感染PCを使った分散攻撃
- スクリプトキディ用ツール:技術力のない攻撃者でも使える自動攻撃ツール
なぜあなたのサイトが狙われるのか
「うちは有名じゃないから大丈夫」と誤解されている方もいるかもしれませんが、攻撃者にとって重要なのは、あなたの会社の知名度を悪用することや、銀行口座からお金を引き出すことではありません。対価は多岐に渡ります。
- 踏み台としての価値
- 他サイトへの攻撃拠点
- スパム送信サーバー
- マルウェア配布サイト
- 計算資源としての価値
- 暗号資産マイニング
- DDoS攻撃への参加
- データの価値
- メールアドレスリスト(1件あたり数円〜数十円で売買)
- クレジットカード情報
- ログイン情報(他サービスでの使い回しを狙う)
攻撃の費用対効果
攻撃者はツールを使っているので、攻撃のコストは非常に安いです。
- 10,000サイトへの自動攻撃:約0円(ツールは自動実行)
- 成功率:0.1%でも10サイトが陥落
- 利益:1サイトあたり数万円〜数百万円相当
つまり、攻撃者にとってはローリスク・ハイリターンのビジネスなのです。
善良な人間にとっては想像し難いことですが、個人情報を売買するブラックマーケットが存在していて、一回でもその攻撃が成功することで報酬を得られるならばやっておこうと考える人間がこの世界にはいるのです。
実際の攻撃ログの例
問題がなければあまりチェックすることのないWebサーバーのアクセスログをチェックしてみると、攻撃ログを見つけることができます。たとえば、次のようなリクエストが実は大量にきていることがわかるでしょう。
06:23:14 ログイン試行 admin/password – 失敗
06:23:15 ログイン試行 admin/123456 – 失敗
06:23:16 ログイン試行 admin/admin – 失敗
06:23:17 /wp-content/plugins/file-manager/readme.txt – 404
06:23:18 /wp-config.php.bak – 404
06:23:19 SQLインジェクション試行 – ブロック
(……という具合に1日で約3,000回の攻撃試行がある、など)
このような攻撃は24時間365日、世界中から自動的に行われています。つまり、あなたのWebサイトはすでに攻撃を受けているのです。
セキュリティに強いWordPressの要件
技術的な対策
基本的なセキュリティ対策
セキュリティに強いWordPressを実現するには、まず継続的なアップデート体制の確立が不可欠です。WordPress本体は自動更新を有効にし、プラグインやテーマは最低でも月1回の定期更新を行う必要があります。PHPについても、現在推奨されている8.2などの最新安定版を維持し、更新前には必ず自動バックアップを実施する仕組みを整えることが重要です。
次に、多層防御の実装により、一つの対策が破られても次の防御線で攻撃を食い止める体制を構築します。WAF(Web Application Firewall)を導入して悪意のあるリクエストをブロックし、CDNを活用してDDoS攻撃から守ります。管理画面へのアクセスはBasic認証やIPアドレス制限を設け、ファイル改ざん検知システムにより、万が一の侵入時も早期発見を可能にします。
認証とアクセス制御も重要な要素です。二要素認証を必須化し、パスワードだけでは突破できない仕組みを作ります。強力なパスワードポリシーを適用し、ログイン試行回数に制限を設けることで、ブルートフォース攻撃を防ぎます。また、ユーザーには必要最小限の権限のみを付与し、被害を最小限に抑える設計とします。
最後に、監査とログ管理体制を整備します。管理画面での操作を監査ログ(Audit log)として記録し、不正アクセスを自動検知する仕組みを導入します。定期的なセキュリティスキャンを実施し、ログは一定期間(半年など)保管することで、インシデント発生時の原因究明と再発防止に活用できます。
運用体制の構築
監視体制
セキュリティに強いWordPressを維持するには、技術的な対策だけでなく、継続的な監視体制が不可欠です。24時間365日体制でリアルタイムの脅威検知を行うことができれば理想的ですが、人員・コストの面で実現できない企業も多いでしょう。しかし、万が一インシデントが発生した場合でも即座に対応できる監視体制を整え、定期的な脆弱性診断を実施することは重要です。潜在的なリスクを事前に把握することもできますし、なにより「実は問題が発生したまま何ヶ月も放置されていた」という状況を防ぐことができます。
インシデント対応プロセス
セキュリティインシデントが発生した際の対応プロセスも明確に定めておく必要があります。まず異常を検知したら、セキュリティ専門家が速やかに影響範囲を特定し、被害の拡大を防ぐための封じ込め措置を実施します。その後、脅威を完全に除去し、システムを正常な状態に復旧させます。重要なのは、インシデント収束後の事後分析(ポスト・モーテム)です。なぜ侵入を許したのか、どうすれば防げたのかを徹底的に分析し、再発防止策を実施することで、セキュリティレベルを継続的に向上させていきます。
コンプライアンス対応の重要性
各種規制への対応
現代のビジネスにおいて、Webサイトは単なる情報発信ツールではなく、各種法規制の対象となる重要な資産です。
国内では、個人情報保護法により個人情報の適切な管理が義務付けられており、不正アクセス禁止法はセキュリティ対策の実施を求めています。また、電子帳簿保存法への対応が必要な企業では、データの完全性確保も重要な要件となります。
国際的な規制への対応も避けて通れません。EU市民のデータを扱う場合はGDPRへの準拠が必須で、違反時には巨額の制裁金リスクがあります。カリフォルニア州でビジネスを展開する企業はCCPAによる消費者プライバシー保護への対応が求められます。さらに、業界によってはPCI DSS(カード業界)やHIPAA(医療業界)といった固有の規制への準拠も必要となります。
セキュリティ認証の価値
セキュリティ認証の取得は、単なる形式的な要件ではありません。ISO 27001やISMS認証、プライバシーマーク、クラウドサービスの場合はSOC2レポートといった認証は、取引先や顧客に対する信頼性の証明となります。これらの認証取得により、セキュリティ対策が第三者機関によって検証されていることを示すことができ、新規取引の際の信頼獲得やビジネス機会の拡大にもつながります。特に大企業との取引においては、これらの認証が取引条件となることも少なくありません。
マネージドホスティングという選択肢
自社が保有しているWordPressサイトを完全に自社だけで管理する場合、当然コストがかかります。専門的な知識を保有するWordPressホスティング企業に管理を任せるというのは、よい選択肢です。マネージドホスティングには一般的に以下のコストが含まれています。
- セキュリティ対策
- ホスティング費用
- 障害対応
内製化する場合には人件費(インフラ・エンジニアなど)とホスティング費用が重たいので、これらを考慮の対象に入れましょう。日本でインフラ・エンジニアにセキュリティ要件を追加して求人サイトで検索すると500万〜1200万円の年収が提示されています。また、ツールの使用料金も当然自社で負担することになります。インシデント発生時の機会損失を考慮すると、専門家による運用の価値はさらに高まります。
マネージドホスティングの場合、月数万〜数十万程度とばらつきがあるので、各社のサービスをよく比較してください。
エンタープライズ向けマネージドホスティングの見るべきポイント
マネージドホスティングサービスでは以下のようなポイントに注意してみましょう。
- SLA(サービスレベル保証):稼働率99.99%など、可用性が数値で保証されているか。たとえばAmazon Web Service EC2では99.99%、稼働率が下回った場合に返金(クレジット付与)などの条件があります。
- RPO(Recovery Point Objective)やRTO(Recovery Time Objective)といったデータ損失や復旧時間の目標が定められているか。これにより、ビジネスの継続性が確保される保証になります。
- 専門家によるサポート体制があるか。WordPressに詳しい開発者がいるか、クラウドやサーバーの認定を受けたインフラ・エンジニアがいるか、は注意すべきポイントです。
- ISMS認証などの認証を取得しているか。コンプライアンス面で重要ですし、あなたが意思決定者へ報告をしなければならないケースでも説明が容易になります。
まとめ:今すぐできるセキュリティチェックリスト
以下の項目を確認し、3つ以上該当する場合は、早急な対策が必要です。
緊急度:高
- WordPress本体が最新版ではない
- PHPバージョンが8.0未満
- 脆弱な認証情報が存在する
- SSL証明書が導入されていない
- バックアップを取っていない
緊急度:中
- 使用していないプラグインが10個以上インストールされている
- 二要素認証を導入していない
- CDN、WAFを導入していない
- 定期的なセキュリティ診断を実施していない
- インシデント対応計画がない
緊急度:低(ただし重要)
- 監査ログを取得していない
- テスト環境がない
- セキュリティポリシーが文書化されていない
- 従業員へのセキュリティ教育を実施していない
次のステップ
WordPressのセキュリティは、一度対策すれば終わりではありません。継続的な改善と専門的な知識が必要です。自社での対応が困難な場合は、エンタープライズ向けマネージドホスティングサービスの導入を検討することをお勧めします。
セキュリティインシデントが発生してからでは遅すぎます。今こそ、WordPressサイトのセキュリティ対策を見直す時です。
