WordPressの脆弱性とセキュリティ対策を紹介【2025年最新版】

WordPressは、初心者から上級者まであらゆるニーズに対応できる機能性・利便性を備えていることから、世界で最も多くのシェアを獲得している人気のCMSです。しかし、一方で脆弱性を狙ったサイバー攻撃の対象になりやすいという側面を持つため、十分な対処が必要。当記事では、WordPressの脆弱性・セキュリティ対策方法について解説していきます。

【関連ページ】
ホームページ制作・Web制作にかかる費用・相場感や、あなたの目的別にホームページ制作・Web制作会社をお探しいただけます。
WordPress制作の費用・相場
WordPressに強いホームページ制作会社一覧

脆弱性とは、コンピュータ・OS・ハードウェア・ソフトウェアなどにおいて、設計ミス・プログラムの不具合などが原因で生じる情報セキュリティ上の欠陥のことを指す情報セキュリティ・サイバーセキュリティ用語です。

WordPressにおける脆弱性とは、本体・テーマ・プラグインにおける設計・開発上のミスにより生じる情報セキュリティ上の欠陥のことを指します。開発者は当然ながら注意して設計・開発を行っていますが、完全にバグや不備を無くすことは不可能。そのため、ユーザー側も脆弱性ならびにその対策に関する知識は身に付けておくことが重要となります。

どのCMSにも脆弱性は存在していますが、WordPressは特に脆弱性に対する攻撃のターゲットにされやすい傾向があります。その主な理由としては、次の2点が挙げられます。

・世界中でユーザーが多い
・オープンソースである

ここでは、上記のWordPressの脆弱性が狙われる理由についてそれぞれ解説します。

WordPressは、世界中で最も多くのシェアを獲得している人気の高いCMSです。圧倒的なユーザー数を抱えているばかりに、以下のような理由から脆弱性を攻撃する標的にされやすい傾向にあります。

・単純に攻撃の対象となるターゲットが多い
・シェアが多いほど攻撃により大きな影響を及ぼせる
・十分なセキュリティ対策を行えていないユーザーも多い
・知識・スキルが浅い初心者の数も多い

人気が高まり有名になるほど、リスクやトラブルを抱えやすくなるのは、IT・Web系のサービスが抱える宿命とも言えるでしょう。

WordPressは、オープンソースとして提供されているCMSです。オープンソースとは、ソースコードが一般に公開されているプログラムのことです。無料で誰でも自由に利用・修正・改変を行えるのがメリットですが、その反面以下のようなセキュリティリスクが高まるという懸念があります。

・悪意のあるユーザーもソースコードを解析できる
・ユーザーが多いため脆弱性や攻撃方法が発見されやすい
・豊富なプラグインが本体とは別の脆弱性を抱える原因となる

外部にソースコードが公開されていない商用パッケージよりも狙われやすいことは、オープンソースである以上仕方がないデメリットとなります。

WordPressの脆弱性の危険度を理解するには、実際の被害事例を参考にしておくことも重要です。

事例：REST APIの処理に関する脆弱性を突いた攻撃
2017年1月にWordPressのバージョン4.7.0と4.7.1において、コンテンツ編集権限の有無に関わらずリモート操作でサーバー上にある投稿コンテンツを改竄できてしまうという深刻な脆弱性が発覚。WordPress.orgは速やかに修正パッチを公開してユーザーに対応を呼びかけましたが、155万件以上ものサイトが改竄の被害に遭ってしまいました。

「自社にあった会社が見つからない」「会社選びに時間が割けない」とお悩みの方は、お気軽に「PRONIアイミツ」にお問い合わせください。数あるホームページ制作会社からあなたの要望にあった会社をピックアップして無料でご紹介いたします。

WordPressの脆弱性に対処するには、どのようなセキュリティリスクが存在するのかを把握しておくことが重要。WordPressの主なセキュリティリスクには、以下のようなものがあります。

・情報漏洩
・サイトの不正改ざん
・犯罪行為への加担

ここでは、上記のセキュリティリスクの概要についてそれぞれ解説します。

悪意の第三者へWordPressへの不正アクセスを許してしまうと、サイトで管理している顧客情報や機密情報といった情報の漏洩や窃取といった重大なセキュリティリスクに繋がる恐れがあります。企業の信用失墜・取引先や顧客の離脱・損害賠償など、企業にとって多大なリスクを被る原因となるため、特に注意が必要なセキュリティリスクとなります。

WordPressへ不正アクセスされてしまうと、Webサイトに掲載されている情報を不正に改竄されてしまうリスクもあります。いたずら目的の軽微な改竄である場合もありますが、訪問ユーザーを偽サイトへ誘導したり不正なマルウェアをダウンロードさせたりするような悪質なケースもあるため注意が必要。自社のサイト運営に支障をきたすため、警戒を怠らないことが重要です。

WordPressが攻撃を受けると、自身のWebサイトならびに自社がダメージを受けるだけでなく、以下のように意図しない犯罪行為へ加担してしまうケースもあります。

・マルウェア感染により、訪問ユーザーへ被害を拡大
・トロイの木馬などで乗っ取られ、犯罪行為やサイバー攻撃の踏み台に利用される

外部から見ると自社が加害者に見えるケースも少なくないため、特に注意が必要となるセキュリティリスクです。

WordPressの脆弱性に対して対策を行うには、まずは以下のような方法を用いて、現状のリスクチェックを行うことが先決です。

・脆弱性診断サービス
・サイトヘルス機能
・JVNの脆弱性情報チェック

より多くのリスクをチェックするために、上記すべての方法を併用するのがポイントです。ここでは、上記のリスクチェック方法の概要についてそれぞれ解説します。

脆弱性診断サービスとは、WordPressで構築されたWebサイトに掲載されている情報・Webサイトの動作の正確性・安全性について確認を行うことができるサービスです。プラグインやブラウザツールを用いて無料で行えるサービスと、専門業者が有料で提供している本格的な診断サービスがあります。レポーティングやコンサルティングも付随しているため、信頼性や精度を重視するのであれば、後者の専門業者が提供しているサービスの利用がおすすめです。

サイトヘルス機能とは、WordPressにデフォルトで備わっている脆弱性診断機能です。管理画面のメニュー画面から、「ツール＞サイトヘルス」と選択することで、診断機能を利用することが可能。現在のWebサイトの状態（ステータス）・問題がある場合の内容・改善タスクの提案が表示されます。

無料でいつでも脆弱性の診断を行うことができるため、定期的にチェックを行っておくことをおすすめします。

JVN（Japan Vulnerability Notes）とは、ソフトウェアの脆弱性に関する情報を公開しているポータルサイトのことです。JP CERTコーディネーションセンターとIPAが共同で運営を行っています。

WordPressの脆弱性についても豊富な情報が公開されているため、最新の情報を把握したい場合や網羅的に情報を把握したい場合にはおすすめ。定期的にチェックしておくことで、セキュリティ対策の漏れを低減することができます。

WordPressの脆弱性に対しては、次のようなセキュリティ対策が効果的です。

・WordPressを最新のバージョンにしておく
・管理画面の認証を複雑にする
・バックアップを取る
・「wp-config.php」のアクセスを制限
・常にSSL化しておく
・使っていないテーマ、プラグインは無効化
・セキュリティ関連のプラグインを活用

以下に、それぞれの対策方法の概要について解説します。

WordPressの最も基本的なセキュリティ対策は、アップデートを行い常に最新の状態を保っておくことです。脆弱性に対する対策が行われていない旧バージョンを使用し続けていると、脆弱性を狙った攻撃を受ける可能性も高くなってしまうためです。

複雑なシステムを構築していない場合は、自動更新機能をONにしておくと、失念による更新漏れを防ぐことができます。テーマ・プラグインも脆弱性を抱える要因となるため、WordPress本体と同様にこまめなアップデートを行っておくことが重要です。

WordPressはクラウド上で動作するCMSであるため、ログイン画面が脆弱性の大きな要因となります。デフォルトの状態のままだと突破されるリスクが高いため、以下のような手法で認証の複雑化を行い、セキュリティを強化しておくことが重要です。

・推測されにくい複雑なパスワードを設定
・定期的にパスワードを変更
・ログイン画面に二段階認証を設定
・ユーザー名を隠す
・国外からのIPアドレスを制限
・wp-adminにBASIC認証を設定

初歩的な部分に大きなリスクが潜んでいるため、必ず対策を行っておきましょう。

WordPressの脆弱性に対して十分なセキュリティ対策を行っていたとしても、100％安全な状況を作り出すことはできないのが実状です。

そのため、万が一不正アクセスやWebサイト改善の被害に遭ってもサイトを元の状態に戻せるように、バックアップを設定しておくことも重要な対策となります。データベース・ファイルに対してそれぞれバックアップを取得できる設定を行っておきましょう。プラグインを活用すれば、自動でバックアップを取得する設定を簡単に行うことが可能です。

wp-config.phpとは、WordPressのインストール時・運用時に必要となる最重要な情報が記載されているファイルです。WordPressの中枢とも言えるデータベースの情報が記載されたファイルとなります。

そのため、セキュリティ対策の基本として、パーミッション変更により「wp-config.php」の読み書き権限をオーナーに限定、オーナー以外からのアクセスを遮断しておくことが重要。不要なアクセスを禁止しておくことで、第三者に悪用されるリスクを無くすことができます。

SSLとは、Webサイト全体の通信を暗号化することで、悪意の第三者によるデータの盗聴・改竄を防ぐための仕組みです。サイトをSSL化させておけば、さまざまな脅威に対するリスクを大幅に低減することが可能。現在では多くのブラウザがSSL化されていないサイトに警告を表示するようになっており、重要な情報を扱うサイトにおいてSSL化は必須の対応となっています。

WordPressで作成されたサイトにおいても同様であるため、セキュリティ対策の基本として常時SSL化は必ず実施しておくようにしましょう。

WordPressでは、CMS本体だけでなく使用しているテーマ・プラグインも脆弱性を抱える大きな要因となります。そのため、サイトの運用に必要最小限のテーマ・プラグインのみ残して、使用しないものや不要なものは削除しておきましょう。無効化しただけでは攻撃を受ける可能性が残り続けるため、必ず削除しておくことが重要なポイント。

利用を続けるテーマ・プラグインに対しては常に最新版へと更新を行い、脆弱性のリスクを低減しておくことも重要となります。

WordPressのプラグインには、以下のようにセキュリティを強化するためのものもあります。

・SiteGuard WP Plugin
基本的なセキュリティ対策をまとめて実施

・.All In One WP Security & Firewall
基本的なセキュリティ対策とファイアウォールの導入が可能

・iThemes Security
細かい設定を行える上級者向けのプラグイン

導入するだけで簡単にセキュリティを強化できるため、初心者の方やこれからセキュリティ対策に取り組む方にはおすすめです。

つづいては、ホームページ制作にかかる費用相場をご紹介します。ホームページ制作の価格は、依頼する内容やページ数、機能により大きく変わります。具体的な費用目安は以下の通りです。 

ホームページ制作・Web制作の費用相場をご紹介しました。より正確な費用を知りたい方は料金シミュレーターをご利用ください。

WordPressは、機能性・自由度の高さから、全世界で最も多くのシェアを獲得している人気の高いCMS。オープンソースで扱いやすい反面、脆弱性を狙われやすいという懸念があります。WordPressをビジネスで活用していくのであれば、WordPress特有の脆弱性に対して理解を深め、万全の対策を行って安全性を確保しておくことが非常に重要。自社での内製が難しい方は、専門業者へ診断や対策を依頼するのがおすすめです。

PRONIアイミツでは、WordPressの運用状況についてヒアリングを行い、最適な発注先とのマッチングを支援していますので、お気軽にご相談ください。

【相談前にまずは会社一覧を見たいという方はこちら】
WordPressに強いホームページ制作会社一覧

【費用感を知りたいという方はこちら】 
WordPress制作の費用・相場