X(旧Twitter) 
Facebook 
LINE 
投稿日:2024.10.31 最終更新日:2025.12.15
WordPressは狙われやすい?脆弱性を5分で診断!3つの方法と専門家の対策
インターネットの普及に伴い、多くの企業や個人がウェブサイトを運営しています。
中でもWordPressは、世界中で広く利用されているコンテンツ管理システム(CMS)です。
しかし、その人気が裏目に出て、WordPressサイトは常にサイバー攻撃の標的となりやすいという問題があります。
しかし、実は、WordPress本体は比較的安全に設計されていて、問題の多くは、プラグインの未更新や弱いパスワードにあることをご存じない方も多いのではないでしょうか。
この記事では、初心者でも今日から始められる脆弱性診断の方法と、診断結果の見方を、15年以上の診断実績を持つ専門家が、実際の診断経験をもと解説します。
この記事で分かること
- WordPressが狙われやすい3つの理由と2024年の被害データ
- プラグイン(防御)と診断ツール(検出)の違い
- 3つの診断方法(WordPress標準機能・専門業者・無料ツール)
- 診断結果の見方と優先的に対処すべき脆弱性の判断基準
- 脆弱性が見つかった場合の対処の流れ
- 専門業者に依頼すべきケースと選び方のポイント
この記事を書いた人
みらいと
セキュリティサービス事業部 コンサルタント/プログラマーからシステム運用を経て情報セキュリティ全般の業務に従事。現在は培った情報セキュリティの経験を活かしお客様の課題に向き合った企画やマーケティングを担当。
目次
WordPressが狙われやすい3つの理由【2024年の被害データで見る実態】
WordPressは全Webサイトの43%台で使われている人気CMSですが、その人気ゆえに攻撃者の標的になりやすい面があります。
まずは、最新の統計データと実際の被害事例を交えながら、WordPressが狙われる3つの理由を整理します。
- 圧倒的な市場シェア(全Webサイトの43%台)が攻撃者を引き寄せる
- オープンソースのため、コード分析が容易
- セキュリティ不足のプラグインが脆弱性の温床に
圧倒的な市場シェア(全Webサイトの43%台)が攻撃者を引き寄せる
WordPressは全Webサイトの43.2%、CMS使用サイトに限れば60.4%で採用されています(2025年時点)。
出典:WordPress usage statistics(W3Techs)
この圧倒的なシェアが、攻撃者にとって魅力的なターゲットとなっているのです。
なぜなら、1つの脆弱性を突くだけで数百万サイトに影響を与えられるからです。
攻撃者にとって、効率よく多くのサイトを攻撃できる状況が整っているというわけです。
2024年にはWordPress関連の脆弱性が計7,966件報告され、前年比34%増という状況でした。
出典:State of WordPress Security in 2025(Patchstack)
中でも影響が大きかったのは、2024年11月に公表されたReally Simple Security(旧Really Simple SSL)の認証バイパス脆弱性(CVE-2024-10924, CVSS 9.8)です。
導入数は400万以上とされ、緊急性の高さからWordPress.org側で強制更新が行われたと報じられました。
出典:CVE-2024-10924(NVD)
出典:Really Simple Security – Simple and Performant Security(WordPress Plugin Directory)
参考:CVE-2024-10924 WordPress authentication bypass(Kaspersky)
IFTにもWordPressに関するご相談は多く寄せられます。
オープンソースのため、コード分析が容易
透明性は改善の早さに役立つ一方で、攻撃者にも分析されやすいという側面があります。
WordPressのソースコードは公開されており、これは透明性とコミュニティによる改善の早さに役立っています。
しかし、この透明性が裏目に出る側面もあるのです。
攻撃者も自由にコードを分析できます。
アップデート公開直後にコード差分から脆弱性を特定し、まだ更新していないサイトを狙うことが可能なのです。
2024年8月には、WPMLプラグインにサーバーサイドテンプレートインジェクション(SSTI)の脆弱性(CVE-2024-6386, CVSS 9.9)が発見されました。
100万超のサイトで使用されており、コード上の入力検証不足が原因でリモートコード実行(RCE)を許す重大なものでした。
出典:CVE-2024-6386(NVD)
出典:WPML powers over a million multilingual WordPress sites(WPML)
ただし、WordPress本体のセキュリティは非常に強固で、定期的にアップデートされています。
問題の多くは、サードパーティ製のプラグインやテーマが原因です。
セキュリティ不足のプラグインが脆弱性の温床に
公式ディレクトリには6万超のプラグインが存在し(2025年時点)、中には作り込みが甘いものや、個人開発でセキュリティレビューが不十分なものも含まれます。豊富なプラグインは強みですが、同時にセキュリティの弱点にもなり得ます。
出典:WordPress Plugin Directory(WordPress.org)
2024年のデータでは、報告された脆弱性の96%がプラグイン由来、4%がテーマ、WordPress本体はわずか7件という結果でした。
さらに、2024年には827件のプラグイン/テーマが開発停止(放置)状態となっており(Patchstack年次レポート)、既知の脆弱性が修正されないまま残ることがあります。
出典:State of WordPress Security in 2025(Patchstack)
過去には、以下のような有名プラグインでも影響が大きい脆弱性が見つかりました。
- RevSlider(2014年末):未修正脆弱性を利用したマルウェア攻撃(SoakSoak)で約10万以上のWordPressサイトが感染
- Ultimate Member(2023年6月):未パッチ脆弱性(CVE-2023-3460, CVSS 9.8)で認証なしに管理者権限のユーザーを作成できる問題が発覚。導入サイト約20万件が即座に攻撃対象に
参考:Some 100,000+ WordPress sites infected by SoakSoak malware(Ars Technica)
出典:Ultimate Member(WordPress Plugin Directory)
出典:CVE-2023-3460(NVD)
これらの事例から、プラグイン選定の重要性と、定期的な更新の必要性が分かります。
WordPress診断でよく見られる3つの課題
中小企業のWordPressサイトでは、運用の手が回らず、更新が後回しになりがちです。
たとえば、総務や広報がサイト運用を兼任していると、忙しい週は「あとでやろう」が積み重なります。
サイト運用の相談では、特に次の3つが繰り返し出てきます。
まず多いのは、プラグインやWordPress本体が古いままになり、修正済みの弱点が残っているケースです。「更新でサイトが壊れるのが怖い」という気持ちは分かります。ただ、更新を止めると攻撃者に狙われやすい状態がつづきます。
次に目立つのが、管理画面のパスワードが弱いまま、または2要素認証(2FA)が未導入のケースです。ログイン画面は、最初に狙われやすい入口になりがちです。
最後に、運用リソース不足が原因でPHPが古いまま動いていたり、使っていないプラグインが残ったままになっていたりするケースです。「無料プラグインを入れたから大丈夫」と感じて、見直しが止まることもあります。無料診断ツールで出た軽い警告を放置した結果、気づかないままリスクが積み上がることもあるのです。
IFTの診断では、このような一般的な脆弱性だけでなく、Critical/Highレベルの影響が大きい脆弱性から中程度以下の脆弱性まで、サイト全体のリスクを総合的に評価しています。
WordPress脆弱性診断の3つの方法【何ができるかを解説】
WordPressの脆弱性診断には、無料で始められる方法から専門家にサイト全体を見てもらう方法まで、複数の選択肢があります。
まず、セキュリティプラグイン(防御)と診断ツール(検出)の違いを理解した上で、3つの診断方法を整理します。
各ツールで何ができるかを極めてシンプルに説明しますので、自分に合った方法を見つけてください。
プラグイン(防御)vs 診断ツール(検出)の違いを理解する
診断方法を理解する前に、まず「防御」と「検出」の違いを押さえておきましょう。
セキュリティプラグインは、WAF(Web Application Firewall)やログイン試行制限、2要素認証などで、攻撃をその場で止める役です。
エンドポイント型ファイアウォールで悪意あるアクセスを遮断し、攻撃を受けている最中に防ぐ役割を果たします。
一方で診断ツールは、攻撃を受ける前に弱点を見つけることに特化しています。
6万件以上のWordPress関連脆弱性データを照会し、既知の脆弱性やマルウェアを検出しますが、その場で攻撃を遮断する機能は持ちません。
この2つは役割が違います。診断ツールで弱点を把握し、プラグインや設定で塞ぐ。
両方を進めることが、WordPressサイトを守る近道です。
WordPress標準機能・プラグインで簡易診断する(初心者向け)
WordPressには、サイトの健全性をチェックする標準機能が備わっています。
まずはここから始めるのがおすすめです。
WordPress標準機能の「サイトヘルス」では、次の項目をチェックできます。
- WordPress本体・プラグイン・テーマの更新の有無
- PHPのバージョンが古すぎないか
- デバッグモードが無効か
- 不要なプラグインが放置されていないか
たとえば、「PHPの非常に古いバージョンで動作しています」という警告が出た場合、PHPのバージョンが古く、既知の脆弱性が存在する可能性を意味します。
警告が出たら、できるだけ早くPHPをサポート中の版(可能ならPHP8.2や8.3)に更新しましょう。
さらに詳しくチェックしたい場合は、Wordfence Securityのスキャン機能が役に立ちます。
- 既知の脆弱性スキャン:インストール済みプラグイン・テーマのバージョンをチェックし、既知の脆弱性を警告
- マルウェアスキャン:コアファイルやプラグインファイルを公式版と比較して改ざんや不審なコード挿入を検出
- ブラックリスト監視:サイトのドメインやIPがスパムサイトとしてブロックされていないかチェック
オールインワン型で、初心者でもUIから「スキャン開始」ボタン一つで診断を実行できます。
検出結果も重要度順にリスト化され、対処方法のアドバイスも表示されるのです。
ただし、無料版では脆弱性データベースやマルウェアシグネチャの更新が有料版より30日遅れる制限があります。
出典:Wordfence Security(Wordfence)
また、プラグイン自体が重めでサーバーリソースを消費する点、誤検知もゼロではない点には注意が必要です。
無料オンラインツールを活用する【詳しくはツール10選記事へ】
オンラインで利用できる無料の脆弱性診断ツールも多数存在します。
代表的な無料の脆弱性スキャンツールに、以下の2つがあります。
- Sucuri SiteCheck:既知のマルウェア感染痕やスパム改ざん、ブラックリスト登録の有無、主要な脆弱性を検出
- WPScan(オンライン版 / Jetpack Protect):約60,000件以上の脆弱性DBに基づき、該当する場合は警告
出典:2024 Website Threat Report(WPScan)
これらのツールは、URLを入力するだけで簡単に診断でき、マルウェアの検出やブラックリスト登録の確認など、基本的なセキュリティチェックができます。
メリットは、すぐ試せて、費用をかけずに現状をつかめることですが、一方で、診断精度や網羅性に限界があるというデメリットもあります(カスタムコードの弱点や、仕様の穴は見つけにくい傾向があります)。
無料ツールは「ざっくり健康診断」として、大きな問題がないかのあぶり出しに使うのが分かりやすいです。
あわせて読みたい
WordPressの脆弱性診断は無料で出来る?診断ツール10選と選び方・注意点を解説
「脆弱性診断ツール」と一口に言っても、使用したことがなけば 「本当に信頼できるの?」 「無料でも十分?」 「自分のサイトに必要な機能は備わっているの?」 など、疑問や不安も多いはずです。 この記事では、WordPressに特化した脆弱性診断ツールを紹介し、徹底比較します。 WordPre
専門業者にサイト全体を診断してもらう(確実・高精度)
より踏み込んでサイト全体を診断したい場合は、専門業者のサービスをおすすめします。
専門業者の良さは、見落としを減らせることです。
自動ツールの結果だけでなく、専門家が「本当に問題か」を確認し、誤検知(フォルス・ポジティブ)も整理します。
また、診断範囲も広く、次のような観点までまとめてチェックします。
専門業者の診断範囲
- WordPress本体、プラグイン、テーマ、サーバー設定
- ネットワーク:WordPressを取り巻く環境全体の確認、潜在的な攻撃経路の洗い出し
- アプリケーション:SQLインジェクション、XSSなど、無料ツールでは拾いにくい弱点の検出
- ソースコード診断(オプション)
高度な自動スキャナーでサイト全体をチェックした後、セキュリティエンジニアが一つひとつ検証・追試します。
その結果、サイトごとの状況に合わせて、指摘の精度を上げられます。
診断後は、技術的詳細と経営層向け要約が充実したドキュメントが提供されます。
発見箇所のURLや再現手順、CVSSスコアによる深刻度、具体的な修正方法まで含まれており、業者側で修正パッチの適用支援や再診断(修正後に脆弱性が塞がったか確認)をおこなう場合もあります。
IFTでも、自動診断ツール「Vex」で広く洗い出したうえで、気になる箇所はエンジニアが再現して確認します。
そのため、「指摘は出たけれど、本当に対応が必要か」を整理しやすくなります。
診断後も、報告書だけで終わらせず、修正方針の相談や再確認(再診断)まで進められる体制です。
診断結果の見方と対処すべき脆弱性の優先順位【初心者必見】
診断ツールを使うと、多数の項目がリストアップされますが、「どれから対処すればいいのか分からない」という声をよく聞きます。
15年以上の診断経験を持つIFTの知見をもとに、診断結果の見方と優先順位の付け方を整理していきます。
深刻度の判断基準(Critical、High、Medium、Low)
深刻度は4段階です。特に、Criticalは即対応、Highは1週間以内を目安にすると判断しやすくなります。
診断ツールが出す深刻度レベルは、CVSS(Common Vulnerability Scoring System)という業界標準の指標に基づいています。
0~10点のスコアを以下の4段階に区分します。
| 深刻度 | CVSSスコア | 意味 | 対処目安 |
|---|---|---|---|
| Critical(緊急) | 9.0~10.0 | 認証なしで遠隔からサイト乗っ取りができてしまう脆弱性(任意のコード実行RCE、認証バイパス等) | 24~48時間以内に修正または一時的な防御策 |
| High(高) | 7.0~8.9 | 影響が大きいが、条件が必要な脆弱性 | 1週間以内(3~7営業日程度) |
| Medium(中) | 4.0~6.9 | 悪用には一定の条件や技術が必要で、影響も限定的な脆弱性 | 数週間~1ヶ月以内(2~4週間程度) |
| Low(低) | 0.1~3.9 | リスクは極めて低いが可能なら対処すべき脆弱性 | 通常のアップデートサイクル内(3~6ヶ月程度) |
診断結果にCritical/Highが含まれている場合は、後回しにせず、表の目安どおりに優先して対処しましょう。
多くの場合、原因はプラグインの未更新です。
よくあるエラーメッセージの意味と対処法
エラーメッセージの意味が分かると、次にやることが決まります。
診断結果で表示されるエラーメッセージの中でも、特に以下の2つはよく見かけます。
「phpの非常に古いバージョンで動作しています」の対処法
この警告は、サーバー側のPHPが古いままで、更新が必要な状態を指します。
公開済みの穴が塞がれないため、侵入につながりやすい状態になります。
対処法
- サーバー環境のPHPバージョンを現在サポート中の版(PHP8.0以降、可能なら8.2や8.3)に切り替える
- レンタルサーバーのコントロールパネルでPHPバージョンを変更(多くのレンタルサーバーでは数クリックで変更できる)
- アップデート前には必ずサイト全体のバックアップを取得
- どうしてもすぐにPHP更新が難しい場合は、一時的な対応としてWAFを導入(ただし根本解決にはならない)
PHPの更新は、サイトの動作確認までセットで考えると進めやすいです。
「ユーザー列挙攻撃に対して脆弱です」の対処法
この警告は「WordPressのログインページで、ユーザー名が推測されやすい状態」を示すことが多いです。
攻撃者がユーザー名を特定し、総当たり攻撃を仕掛けやすくなります。
対処法
- 管理者ユーザー名に推測されやすい文字列(”admin”等)を使わない
- 著者アーカイブページへのアクセスをリダイレクトまたは404にする設定
- SiteGuard WP Plugin等で「ユーザー名の漏えいを防ぐ」機能を有効化
- REST API経由でユーザー一覧を取得されるのを防ぐ設定
- 全ユーザーに強固なパスワードと、可能なら2要素認証(2FA)を導入
ログイン周りは、設定変更だけで改善できる項目も多いので、優先して見直しましょう。
\\設定の抜け漏れを短時間で洗い出し//
優先的に対処すべき脆弱性の見極め方
迷ったら、4つの軸で並べて判断すると整理できます。
診断結果を見て「どれから対処すればいいか」迷ったときは、以下の4つの判断基準を使いましょう。
- 脆弱性の深刻度(Critical/High/Medium/Low):前述のCVSSスコアに基づく深刻度を最優先で確認します。
- 悪用の容易さ(攻撃可能性):すでに攻撃が発生している脆弱性(Exploitが公開済み)は優先度を上げます。ニュースで報道されたような脆弱性は特に注意が必要です。
- 影響範囲の大きさ:サイト全体の乗っ取りやDB全件流出に繋がるなら影響大と判断します。
- 資産の重要度:自社にとってクリティカルな資産(個人情報や機密データ)を守る観点で優先順位を付けます。
私たちの診断でも、まず対処すべきはWordPress本体・プラグインの古いバージョンです。
アップデートで対処できる脆弱性は、修正パッチがすでに用意されているため、早期に適用しましょう。
次に、弱いパスワード・2FA未導入の改善です。
これらは設定変更で比較的簡易に軽減できます。
残った難易度高い脆弱性(カスタムコードの脆弱性等)は計画的に、必要に応じて専門家に相談しながら対処しましょう。
判断に迷ったら、専門家へ相談することをおすすめします。
脆弱性が見つかった場合の対処の流れ【優先順位の付け方】
脆弱性が見つかったとき、どれから手をつけるか迷うこともあると思います。
基本は次の順で検討しましょう。
| 優先 | 対処 | 具体例 | ひとこと |
|---|---|---|---|
| 1 | ソフトウェアのアップデート(最優先) | WordPress本体・プラグイン・テーマを修正版へ更新 | 事前にサイト全体をバックアップ |
| 2 | 設定変更・不要機能の無効化 | 「誰でもユーザー登録可能」OFF、XML-RPC無効化、ディレクトリ一覧禁止、未使用プラグイン/テーマの削除 | 無効化だけではなく削除まで |
| 3 | パスワード強化とアクセス制御 | 全ユーザーのパスワード変更、2FA導入、不要な管理者削除・権限見なおし | ログイン周りを固める |
| 4 | WAF導入やプラグイン適用による防御 | ルールで攻撃を遮断 | 応急措置として検討 |
| 5 | 専門家への相談・依頼 | 高度で自力対応が難しい場合は相談 | 早めに整理すると進めやすい |
私たちIFTの経験上、
「まずWordPress本体・プラグインの更新」
「次に不要プラグイン削除や基本設定の堅牢化」
「最後に残る難しい問題は専門家が個別対応」
という進め方が進めやすいです。
専門業者による脆弱性診断のメリットと選び方
無料ツールで基本的な診断はできます。ただし、ログイン後の画面やカスタム機能など、外から見えない範囲は残りやすいです。
どんな場合に専門業者へ依頼すべきか、選び方のポイントと合わせて整理します。
無料ツールと専門業者の違い(機能比較表)
無料ツールと専門業者の一番の違いは、見られる範囲と深さです。目安として、違いを一覧にしました。
| 比較項目 | 無料ツール | 専門業者 |
|---|---|---|
| 診断範囲 | 公開部分中心。既知の脆弱性やマルウェアを外部から検出。ログインが必要な領域やカスタムコードの検査は限定的 | サイト全体。WordPress本体・プラグイン・テーマからサーバ設定、ネットワークまでまとめて診断。カスタム機能やクラウド環境も対象 |
| 検出精度 | 既知の問題に限られる。シグネチャマッチングによる自動検出が中心。新種の攻撃や論理的欠陥は原則検知不能。誤検知も稀にあり | 専門家の手動検査込みで高精度。自動ツール+人間の目により未知の脆弱性やビジネスロジックの欠陥も発見できる。誤検知はレポート時に排除 |
| レポート内容 | 基本的に簡易な結果一覧。対策方法も簡単な助言のみ | 詳細な診断報告書。脆弱性ごとに概要・影響・再現手順・具体的な解決策。経営層向け要約やリスク評価も含まれる |
| アフターサポート | なし(自分で結果を解釈し対応) | 充実のサポート。疑問点のQA対応、修正方法の相談。IFTでは再診断無料や専門エンジニアによる改善提案サービスも提供 |
| 診断頻度 | 自由(必要なときに何度でも実行可) | 年1回~数回のスポット診断が基本 |
| 費用 | 0円 | 有料(数十万~数百万円規模)、規模・範囲により変動 |
無料ツールは、まず現状を手軽にチェックする手段として役に立ちます。
「ざっくり健康診断」として活用し、大きな問題がないかをあぶり出しましょう。
一方、ビジネス上重要なサイトや、無料診断では不安が残る場合は、専門業者の出番です。
最新の脅威や高度な弱点にも対応できますし、詳細なレポートとアフターサポートがあるので、対策を進めやすくなります。
定期的に無料ツールで自己チェックしつつ、サイトリニューアルや重要なサービス公開の節目で専門業者に詳細診断を依頼する、という使い分けもしやすいです。
こんな場合は専門家への相談がおすすめ(4つの判断基準)
以下のケースに当てはまる場合は、専門業者に相談すると整理しやすいです。
- Critical/Highの脆弱性を自力で対処できない場合
- 顧客データや機密情報を扱うサイトの場合
- 自社にセキュリティ人材がいない場合
- コンプライアンスや監査要件がある場合
1. Critical/Highの脆弱性を自力で対処できない場合
診断やツールでCritical/Highクラスの指摘が出たものの、自社内に修正のノウハウがない場合です。
影響範囲の切り分けと、「今すぐやること」を決めるところから相談できます。
2. 顧客データや機密情報を扱うサイトの場合
ECサイト・会員サイト・社内システムなど、個人情報や機密データを扱う場合は、第三者にサイト全体を見てもらう方が安心です。
PCI DSSでは年1回以上の脆弱性スキャンが義務付けられており、取引先からセキュリティ監査を求められることもあります。
3. 自社にセキュリティ人材がいない場合
専任担当がいない状態で試行錯誤すると、判断が遅れたり、手戻りが増えたりします。
早めに相談して、やることを絞る方が進めやすいです。
4. コンプライアンスや監査要件がある場合
上場企業や特定業界では、契約上「年1回の脆弱性診断報告書提出」が求められることもあります。
第三者評価が必要な場合は、専門業者による診断が欠かせません。
IFTの脆弱性診断サービスの特長
IFTでは15年以上にわたり、1,000件以上のWeb脆弱性診断に携わってきました。
WordPressでも、ツールの結果だけで終わらせず、運用の実態に合わせて指摘を整理することを大切にしています。
IFTの脆弱性診断サービスの特長
- 自動診断ツール「Vex」+手動診断で、本当に危ない箇所を切り分け
- 診断後のオンライン相談会と、3ヶ月以内の無料再診断
- 予算やスケジュールに合わせた柔軟な進め方の調整
IFTの診断では、ツールで広くチェックした後、エンジニアが気になる箇所を再現して確認します。
「本当に危ない指摘か」を切り分け、優先順位を付けるところまで行うのが特長です。
診断後は、開発担当者向けのオンライン相談会で修正の進め方や疑問点を整理できます。
初回診断から3ヶ月以内であれば、再診断も無料です。
「診断して終わり」ではなく、修正後の確認まで一貫してサポートする体制を整えています。
まとめ:診断は一度で終わらせない【定期チェックでWordPressを守る】
この記事では、WordPressの脆弱性診断について、診断方法の具体的な手順・診断結果の見方・優先順位の付け方まで、初心者でも実践できる内容を解説しました。
この記事のまとめ
- WordPress脆弱性の96%はプラグイン由来、本体は安全
- プラグイン(防御)と診断ツール(検出)を組み合わせる
- 無料ツールでまず現状把握、必要に応じて専門業者へ
- Critical/Highは24~48時間以内に対応が欠かせない
WordPressの脆弱性診断は、「発見→判断→対策」の3ステップで進めます。
無料ツールで現状を把握し、深刻度レベルを判断して優先順位を決め、対策を実施する。
このサイクルを回すことで、安全性を維持できます。
なかでも大切なのは、診断を一度やって終わりにしないことです。
新しい脆弱性は次々と発見されるため、定期的な診断とアップデートを習慣化することで、被害を未然に防げます。
自社にセキュリティ担当がいない場合や、Critical/Highが出て手が止まった場合は、専門業者に相談すると早く整理できます。
IFTでは、自動診断ツール「Vex」と手動診断を組み合わせ、優先順位付けまでサポートします。
診断後のオンライン相談会や3ヶ月以内の無料再診断も提供し、修正後の確認まで一貫して対応します。
