自社のコーポレートサイトや採用ページ、オウンドメディアをWordPressで運用している——そんな企業は珍しくありません。むしろ多数派です。だからこそ、WordPressは攻撃者にとって世界で最も「割の良い」標的になっています。そして2025年から2026年にかけて、その前提が一段と厳しくなりました。AI(人工知能)によって、攻撃の発見も実行も桁違いに速く・安くなったからです。
本記事は、自社でWordPressサイトを運用する経営者・広報・情シス(社内の情報システム担当)の方に向けて、なぜ「今」見直すべきなのかを最新データで示したうえで、専門知識がなくても今日から着手できる守りの基本を整理します。難しいコードは出てきません。画面を見ながら判断・指示できる範囲に絞ります。
なぜ「今」見直すのか——攻撃が自動化し、速くなった
まず数字で現在地を押さえます。セキュリティ企業Patchstackの年次レポート「State of WordPress Security in 2026」によると、2025年にWordPressエコシステムで新たに見つかった脆弱性(ぜいじゃくせい=ソフトの欠陥)は11,334件で、前年から42%増えました。高深刻度の脆弱性は、過去2年分を合わせたよりも多く見つかっています。穴の数そのものが、年々加速して増えているということです。
なぜこれほど狙われるのか。理由は単純で、母数が圧倒的だからです。調査会社W3Techsによれば、WordPressは2026年時点でも世界の全Webサイトの約42%、CMS(コンテンツ管理システム=サイトを作る土台のソフト)を使うサイトに限れば約6割を占めます。攻撃者から見れば、一つの手口を磨けば世界中の膨大なサイトに使い回せる。最も投資対効果の高い標的が、WordPressなのです。
増えているのは数だけではありません。攻撃の「速さ」と「安さ」が、AIによって一変しました。 ログインを片端から試す自動攻撃(総当たり)は、AIを組み込んだボットネット(乗っ取られた機器の群れ)によって年明けから倍近くに増えたと報告されています。さらに、ある研究チームがわずか3日で組んだAIの解析パイプラインは、72時間の走査でWordPressプラグインに300件超の重大なゼロデイ脆弱性(修正パッチが出る前の未知の欠陥)を見つけ出しました。脆弱性を「発見してから初めて悪用されるまでの時間」も、2020年の700日超から2025年には44日へと短くなっています。
用語を先に三つだけ
ゼロデイ=修正パッチが出る前の未知の脆弱性。エクスプロイト=脆弱性を突くための攻撃コードや手口。ボットネット=マルウェアで乗っ取られた多数の機器が、攻撃者の指示で一斉に動く群れ。この3語が分かれば本記事は読み通せます。
つまり「うちは小さなサイトだから狙われない」という発想は、もう通用しません。AIによる走査は、相手が大企業か中小企業かを区別しません。インターネットに公開されている全サイトを、機械的に・絶え間なく舐めていきます。脆弱性が世に公開された瞬間から、人間が対応を検討している間に、攻撃側はすでに動いているのが今の前提です。AIが「守り」にどう使われ始めているかは、Anthropicが1ヶ月で1万件超の脆弱性を発見したProject Glasswingの記事もあわせてご覧ください。
穴の9割超は「プラグイン」——WordPress本体ではない
ここが最も重要な事実です。WordPressが危ないのではなく、後から足した「拡張機能」が危ない。 Patchstackの集計では、2025年に見つかった脆弱性の91%はプラグイン由来でした。WordPress本体(コア)の脆弱性は、1年を通じてわずか2件です。実際に侵入が成立した事例で見ても、その92%はプラグインやテーマといった拡張部分が入口になっています。
WordPress本体は世界中の開発者に監視され、修正も速い堅牢なソフトです。一方で、誰でも公開できるプラグインやテーマは品質の幅が大きく、更新が止まったまま放置されているものも多い。便利だからと入れた拡張が、そのまま侵入口になります。下表は、どこにリスクが集中しているかの整理です。
| どこの欠陥か | 2025年の状況 | 意味するところ |
|---|---|---|
| WordPress本体(コア) | 脆弱性はわずか2件 | 本体は堅牢。ここが原因の侵入はまれ |
| プラグイン/テーマ(拡張) | 脆弱性の91%/侵入の92%が由来 | リスクのほぼ全てがここに集中する |
| 有料・フリーミアム部品 | 報告の29%/うち多くが実害につながる深刻度 | 有料だから安全とは限らない |
教訓はシンプルです。入れる拡張は最小限に、使っていない拡張は残さず消す。 これだけで攻撃対象は大きく縮みます。「念のため入れておいた」「昔のキャンペーンで使った」プラグインこそ、真っ先に点検すべき対象です。
攻撃は「公開から数時間」——パッチが間に合わない現実
「脆弱性が見つかっても、すぐ直せば大丈夫」と思いがちですが、その「すぐ」の基準が様変わりしました。Patchstackの分析では、よく悪用される脆弱性のうち20%が公開から6時間以内、45%が24時間以内、70%が7日以内に悪用されています。最初の悪用までの時間の中央値は、わずか5時間です。さらに、2025年に公開された脆弱性の46%は、修正が公表に間に合っていませんでした。半数近くが、直せないまま世間に知られた状態だったということです。
もう一つ、過信しがちな点に釘を刺しておきます。「ホスティング会社やWAFが守ってくれる」とは限りません。 WAF(ワフ=Webサイトの前段で不正な通信を遮断する仕組み)を含む従来型の防御は、実際に悪用が確認された脆弱性に対して12%しかブロックできず、対象を広げても26%にとどまったという検証結果があります。前段の防御は有効ですが、それだけに依存するのは危険です。守りは多層で組む必要があります。
侵入されると、何が起きるのか
「乗っ取られて困るのは技術者だけ」ではありません。被害はそのまま事業の損失とブランド毀損につながります。実際に起きるのは、たとえば次のようなことです。
一つは、サイトの改ざんです。見えないリンクや偽の宣伝ページがこっそり仕込まれ、自社サイトが薬物・ギャンブルなどのスパム誘導や、別サイトへの不正な転送に使われます。検索エンジンはこれを検知すると、検索結果から外したり「このサイトは安全でない可能性があります」と警告を出したりします。長年かけて積み上げた検索評価とブランドの信用が、一夜で損なわれます。
もう一つは、データの流出です。問い合わせフォームや会員情報、採用応募者の個人情報が抜き取られれば、本人への通知・公表や監督官庁への対応が必要になり、対応コストと信用低下が一気にのしかかります。さらに、乗っ取られたサイトは、取引先や閲覧者へのフィッシング(偽サイトに誘導して情報を盗む手口)や、別の標的への攻撃の「踏み台」にされることもあります。被害者であると同時に、知らぬ間に加害の起点にされてしまうのです。
まず塞ぐべき「穴」——ありがちな侵入経路
派手な手口より、地味な入口が現実の被害を生みます。実務で繰り返し悪用されるのは、おおむね次の5つです。自社サイトに心当たりがないか、上から照らし合わせてください。
- 更新が止まったプラグイン・テーマ — 開発が終了した拡張は、欠陥が見つかっても直されない。入れっぱなしが最大のリスク。
- 弱い・使い回しのログイン情報 — 「admin」+ ありがちなパスワードは、AIボットの総当たりで数秒。他サービスからの漏えいパスワードの使い回しも狙われる。
- 誰でも触れる管理画面 — ログインページが標準のまま・誰からでもアクセスできる状態は、総当たりの的になりやすい。
- 多すぎる管理者権限 — 必要以上に管理者を増やすと、1人の油断が全体の陥落に直結する。
- バックアップ不在 — 侵入そのものより、「元に戻せない」ことが致命傷になる。改ざん・暗号化された後の復旧手段が無い状態は危険。
どれも特別な攻撃ではありません。だからこそ、ここを塞ぐだけで被害の大半は防げます。AIで「破られやすくなった」従来対策の全体像は、AIに破られやすくなったセキュリティ対策ランキングの記事でも整理しています。
今すぐやる守りのチェックリスト(非エンジニア向け)
ここからは行動に落とします。コードは不要で、管理画面の操作と運用ルールの整備が中心です。優先度の高い順に並べました。上から着手すれば、費用をほとんどかけずに守りの土台ができます。
- 更新を止めない — WordPress本体・プラグイン・テーマを常に最新に保つ。可能なものは自動更新を有効化し、更新できないものは「使い続けるか」を見直す。
- 使っていない拡張を消す — 停止中のプラグイン・テーマも、入っているだけで穴になる。無効化ではなく削除する。
- ログインを固くする — 二要素認証(パスワードに加えてスマホの確認コード等を求める仕組み)を導入し、ログイン試行回数に制限をかける。「admin」という管理者名は使わない。
- 管理者を絞る — 管理者権限は本当に必要な人だけに。退職・異動した人のアカウントは速やかに停止する。各人には役割に応じた最小限の権限を与える。
- バックアップを「復旧前提」で持つ — 定期的に自動取得し、サイト本体とは別の場所に保管する。年に一度は「実際に戻せるか」を試す。
- 前段の防御は入れる。ただし過信しない — WAF(ワフ)やホスティング側のセキュリティ機能は有効化する。同時に、それだけで万全とは考えず、上記の基本と組み合わせる。
- 脆弱性情報を受け取る仕組みを持つ — 使っている主要プラグインの更新・脆弱性情報が自社に届くようにし、緊急時に「誰が・いつ・何をするか」を事前に決めておく。
最後の「事前に決めておく」が効きます。脆弱性が公開されてから対応を相談していては、前述の「5時間」に間に合いません。クラウド型サービスを業務で使う際の注意点は、クラウド型生成AIを業務で使うときの注意点の記事も参考になります。
攻撃側だけが速くなるわけではない——「守りにもAIを」
ここまで脅威の話が続きましたが、悲観する必要はありません。脆弱性を高速で見つけるAIの力は、攻撃にも防御にも使えます。実際、AnthropicはAIで脆弱性を先回りして発見し、重要インフラを守る取り組みを進めています。最上位モデルの提供方針をめぐる最新の動きは、Anthropicが「Mythos級」モデルの提供を表明した記事で整理しました。要は、攻撃者が速くなった分、守る側も同じ道具を使って先回りできる時代だということです。
企業として大切なのは、最新の脅威ニュースを追うことより、自社の足元の基本を固めることです。AIエージェント(自律的に作業するAI)を社内で安全に使うためのルール設計は、最初に決めるべき7項目をまとめた記事にまとめています。サイトの守りも、社内のAI活用も、根っこは同じ「決めて、運用する」です。
はてなベースの見解
私たちは、WordPressセキュリティの本質は「高価なツールを買うこと」ではなく、「当たり前を、止めずに回し続けること」だと考えています。更新を止めない、使わない拡張を残さない、ログインを固くする、戻せるようにしておく——派手さはありませんが、データが示す通り、被害の大半はここで防げます。AIで攻撃が速くなった今こそ、最新ニュースに振り回されるのではなく、地に足のついた運用の仕組みを整えることが、最も費用対効果の高い投資です。情シスの体制づくりから、AI時代を前提にしたセキュリティ運用の設計まで、現場の実態に合わせて伴走します。
AI時代の前提で、社内のセキュリティ運用を見直しませんか
攻撃が自動化・高速化するなかで、自社サイトや社内ITの守りを「止めずに回す」仕組みづくりは後回しにされがちです。はてなベースは、情シス体制の整備、運用ルールの設計、AI活用とセキュリティの両立まで、企業の実態に合わせてご支援します。まずは現状の棚卸しからご相談いただけます。