どうも。
「WordPressは危険」そんな話を聞いたことがある人は多いだろう。
実際、近年のWordPress関連の脆弱性報告は急増している。
しかし重要なのは、“何が危険なのか”を正確に理解することだ。
結論から言えば、問題の中心はWordPress本体ではない。
本当に危険なのは、後から追加する大量のプラグインやテーマによる“構造的な問題”である。
1. WordPressの脆弱性は異常なペースで増えている
セキュリティ企業の調査によると、WordPress関連の脆弱性報告は年々急増している。
- 2023年:約5,947件
- 2024年:約7,966件(前年比34%増)
- 2025年予測:約11,334件(前年比42%増)
2025年予測では、毎日30件以上の新しい脆弱性が見つかっている計算だ。
しかも、2024年に見つかった脆弱性のうち約43%は、
- ID不要
- パスワード不要
- ログイン不要
つまり、誰でも外部から攻撃を試せる危険なタイプだった。
ただし、全てが即死級というわけではない。
実際に悪用される可能性が高いものは全体の一部だ。
とはいえ、数が増え続けていること自体が大きな問題である。
2. 実は「WordPress本体」はそこまで危険ではない
ここが非常に重要だ。
2024年に見つかったWordPress本体(コア)の脆弱性は、たった7件しかなかった。
では、残りの何千件は何なのか?
その約96%は、
- プラグイン
- テーマ
に原因がある。
つまり、WordPressそのものが危険というより、“後から追加する拡張機能”が危険なのだ。
これは、「安全なスマホ本体に、怪しいアプリを大量に入れる」ような状態に近い。
3. なぜプラグインは危険なのか?
理由は単純だ。
数が多すぎるからである。
WordPressには、
- プラグイン:約6万〜7万本以上
- テーマ:数万本
が存在する。
合計すると、10万本近い規模になる。
しかも、その多くは大企業ではなく、
- 個人開発
- 小規模チーム
- 副業開発
- 趣味開発
によって作られている。
つまり、「機能は作れても、セキュリティ管理まで手が回らない」ケースが非常に多い。
4. 最大の問題は「放置されたプラグイン」
さらに深刻なのが、更新停止されたプラグインだ。
なんと、公式ディレクトリ内の約59%が、2年以上更新されていないと言われている。
つまり、
- 開発者が消えた
- メンテナンス停止
- 脆弱性放置
という状態のものが大量に存在する。
しかしWordPress側は、「古いですよ」という警告は出しても、自動削除はしない。
そのため、危険なプラグインが今も普通に公開され続けている状態である。
5. 「人気プラグインだから安全」は危険
多くの人は、インストール数が多い=安全と思っている。
しかし現実は逆だ。
人気プラグインは、攻撃者にとって“最も効率が良い標的”になる。
なぜなら、「1つの脆弱性で大量のサイトを攻撃できる」からだ。
実際、2024年には、インストール数10万超えの人気プラグインからも1000件以上の脆弱性が発見されている。
つまり、人気=安全ではない。
むしろ、人気=狙われやすいでもある。
6. 有料テーマにも危険はある
「無料より有料のほうが安全」と思う人も多いが、一概には言えない。
特にプレミアムテーマは、
- コードが非公開
- 外部調査が入りにくい
- ブラックボックス化しやすい
という問題がある。
そのため、脆弱性が長期間見つからず放置されるケースもある。
7. EUがついに法規制へ
この状況を受けて、EUではサイバーレジリエンス法(CRA)という新しい法律が作られた。
2026年以降は、オープンソース開発者ですら、
- 深刻な脆弱性の報告
- ユーザー通知
などが法的義務になる。
つまり、これまでの「善意で運営」から、「法的責任を伴う時代」へ変わろうとしている。
これは、GDPR級の大きな転換点になる可能性がある。
8. WordPressユーザーが本当にやるべきこと
重要なのは、プラグインを「便利機能」ではなく、“管理が必要な負債”として見ることだ。
今すぐやるべき対策
① 使っていないプラグインは削除
「無効化」では不十分だ。
完全に削除してほしい。
② 更新停止プラグインを使わない
2年以上更新が止まっているものは危険信号だ。
今動いていても、将来的に危険化する可能性がある。
③ プラグインは“入れて終わり”ではない
WordPress運営は、
- 更新
- 管理
- 監視
- バックアップ
を継続する必要がある。
つまり、便利さの代わりに“管理コスト”を払う世界なのだ。
最後に
WordPress自体は非常に便利で強力なシステムだ。
問題なのは、その自由度が高すぎること。
自由度が高いということは、同時に、自己責任の領域も広いという意味でもある。
だからこそ、「便利だから入れる」ではなく、本当に必要か?開発は継続されているか?信頼できるか?を考えながら使う時代になっている。

安全性の高いプラグインを見分ける基準はある?
(ChatGPTに質問した回答だ)
あります。ただし重要なのは、「絶対安全なプラグイン」は存在しないという前提です。
なので実際は、“危険なものを避ける確率を上げる”という考え方になります。
WordPress運営者が見るべきポイントを、実用重視で並べるとこんな感じです。
安全性の高いプラグインを見分ける基準
1. 最重要:「更新頻度」
まずここです。
理想
- 数週間〜数ヶ月以内に更新
- WordPress最新版対応
- 定期的にアップデートされている
危険信号
- 1年以上更新なし
- 2年以上更新停止
- 「このWordPressバージョンでは未検証」
これはかなり危険です。
なぜなら、WordPress本体は更新され続けるので、古いコードは徐々に壊れていくからです。
2. 「利用者数」が多い
これは完全安全ではないですが、重要です。
例えば、
- 10件インストール
- 100万件インストール
なら後者のほうが圧倒的にマシです。
理由は、
- 利用者が多い
- バグ報告が来る
- セキュリティ研究者に監視される
- 開発継続の利益がある
からです。
ただし注意点として、人気=狙われやすいでもあります。
なので、「人気だから安心」ではなく、“放置されにくい”という意味で見るのが重要です。
3. 「開発元」が明確
かなり大事です。
安全寄り
- 法人開発
- 長年運営
- セキュリティポリシーあり
- 公式サイトが存在
- サポート体制あり
危険寄り
- 正体不明
- 個人ブログだけ
- GitHub放置
- 作者が消えている
特に、
- 作者サイトが死んでいる
- サポートフォーラム無反応
は危険信号です。
4. 「必要最小限」の機能か
これはかなり重要です。
危険になりやすい例
- 万能SEO
- 超多機能
- 何でもできる
- 管理権限を広く要求
こういうものはコード量が膨大になります。
コード量が増えるほど、脆弱性も増えやすいです。
5. 「権限」を見ろ
特に危険なのが、
- ファイル操作
- PHP実行
- 管理者権限変更
- DB直接操作
- 外部API通信
を行うプラグインです。
例えば、
- バックアップ系
- ファイルマネージャー系
- ノーコード実行系
- 自動投稿系
は便利ですが、侵害時の被害も大きくなります。
6. 「レビュー」を読む
ただし星だけ見ない。
重要なのは、
- 更新後に壊れた報告
- サポート対応
- セキュリティ事故
- 放置感
です。
低評価レビューに本音が出やすいです。
7. 「GPLクラブ」は危険寄り
これはかなり重要。
海外には、
- 有料テーマ
- 有料プラグイン
を再配布する「GPLクラブ」があります。
しかし、
- 改造済み
- マルウェア混入
- バックドア
の危険があります。
なので、必ず公式配布元から入れるが鉄則です。
8. 「プラグイン数」を減らす
実はこれが最強です。
例えば、
- 5個
- 25個
では攻撃面積が全然違います。
WordPressは、“入れれば入れるほどリスクが増える”構造です。
だから上級者ほど、
- functions.php
- 軽量コード
- 最小構成
を好みます。
実用的な判断ライン
個人的に、かなり現実的なのはこの基準です。
比較的安全寄り
- 半年以内更新
- 利用者10万以上
- 法人運営
- サポート継続
- 機能が明確
- WordPress最新版対応
危険寄り
- 2年以上放置
- 作者不明
- 利用者少ない
- レビュー荒れてる
- 多機能すぎる
- GitHub停止
最後に
WordPress運営は、「便利機能を追加するゲーム」ではなく、「不要なリスクをどれだけ減らすか」という防衛ゲームでもある。
なので、「これ便利そう!」より、「本当に必要か?」を優先するだけでも、かなり安全性は変わる。

僕の入れているテーマやプラグイン。
(ChatGPTに質問した回答だ)
結論から言うと、あなたの構成は、「初心者〜中級者としては比較的まとも」ただし、いくつか“注意ポイント”はあるという感じです。
特に、
- 怪しいGPL系
- 放置プラグイン
- 無名プラグイン乱用
みたいな危険構成ではないので、その点はかなり良いです。
ただし、WordPressの世界では、「有名=安全」ではないので、“継続管理”が重要になります。
1つずつ見ます。
テーマ:Blocksy
総評
かなり良い部類です。
- 利用者多い
- 更新頻度高い
- 開発継続中
- 軽量
- 評判も比較的良い
ので、「無名テーマ地獄」ではありません。
また、Blocksyは近年かなり人気があります。
ただし注意点
脆弱性がゼロではありません。
2025〜2026にも脆弱性報告があります。
ただし内容を見ると、
- 管理者権限絡み
- Contributor以上必要
- 条件付き
など、「即死級リモート侵害」ではないものが中心です。
つまり、「危険テーマだからやめろ」レベルではないです。
むしろ、人気テーマだから研究されやすいという側面が大きいです。
Blocksy Companion
総評
「Blocksy使うならほぼセット」なので自然です。
ただし、テーマ連携系プラグインはテーマ本体より攻撃面積が広がります。
なので、
- 不要機能OFF
- Pro機能未使用なら削減検討
はありです。
Easy Digital Downloads(EDD)
総評
かなり有名で実績があります。
あなたの用途(PDF販売)とも相性が良いです。
ただし、EC系は“最重要防御対象”です。
なぜなら、
- 決済
- 顧客情報
- メール
- ダウンロードURL
を扱うからです。
注意点
EDDは近年も脆弱性報告があります。
ただしこれは逆に、大規模・人気ゆえに研究されまくっているとも言えます。
無名ECプラグインよりは、むしろ安全寄りです。
重要
EDDは、
- 常に最新版
- Stripeアドオン最新版
- 未使用アドオン削除
がかなり重要です。
特にEC系は、「1年放置」が一番危険です。
SiteGuard WP Plugin
総評
かなり無難。
日本では定番です。
- 国産
- JP-Secure開発
- 利用者多い
- ログイン防御特化
で、初心者〜中級者にはかなり良いです。
ただし注意
これも脆弱性報告はあります。
ここが重要なのですが、セキュリティプラグイン自体も脆弱になるのがWordPress世界です。
なので、「セキュリティプラグイン入れたから安心」ではありません。
Stackable – Gutenberg Blocks
総評
ここはやや注意。
理由は、ブロック追加系はコード量が多いからです。
特に、
- UI系
- エディタ拡張
- JS大量
- CSS大量
は攻撃面積が広くなります。
あなたの構成での立ち位置
危険寄りではないですが、「本当に必要か?」は考えたほうがいいです。
特に、「数個のブロックしか使ってない」なら、削減候補になります。
UpdraftPlus
総評
かなり良い。
バックアップ系では超定番です。
ただし、バックアップ系は権限が超強いので、侵害された場合の被害も大きいです。
重要
特にやるべきなのは、
- 自動バックアップ
- 外部保存
- 復元テスト
です。
バックアップは、「ある」だけでは意味がないです。
復元できないと終わります。
WP 2FA
総評
良いです。
むしろ、2FAは今の時代かなり重要です。
特にあなたは、
- PDF販売
- Stripe
- 顧客データ
を扱うので、管理画面突破リスクを下げる意味があります。
注意点
ただし、
- ロックアウト
- スマホ故障
- 復旧コード紛失
には注意。
必ず、
- Recovery Codes保存
- 別端末保管
をしてください。
WP Statistics
総評
ここはやや微妙。
理由は、DB負荷が重くなりやすいからです。
また統計系は、
- ログ
- IP
- リクエスト
を大量に扱うため、攻撃面積も増えます。
個人的には
軽量志向なら、
- Cloudflare Analytics
- サーバーログ解析
寄りのほうが好みです。
ただし、WP Statistics自体が即危険という意味ではありません。
あなたの全体構成の評価
良い点
- 無名危険プラグイン少ない
- 目的が明確
- 変なGPL系なし
- セキュリティ意識高め
- プラグイン数が比較的少ない
これはかなり良いです。
気になる点
① EDDがある
つまり、攻撃価値があるサイトになっています。
単なるブログより狙われやすい。
② WordPress依存度が高い
- テーマ
- Companion
- Gutenberg拡張
が積み重なると、複雑性が上がります。
③ バックアップ依存
UpdraftPlusは良いですが、復元訓練をしていない人が多い。
個人的に追加したいもの
Cloudflare
かなりおすすめ。
- WAF
- Bot対策
- CDN
- IP隠蔽
が大きい。
特にあなたみたいな、
- PDF販売
- 個人運営
- セキュリティ重視
とは相性が良いです。
最後に
あなたの構成は、「WordPressを雑に運営してる人」よりかなり良いです。
ただしWordPressは、“安全”ではなく、“継続管理で危険を減らす世界”です。
なので本当に重要なのは、
- 更新
- 不要削除
- バックアップ
- 権限最小化
- 監視
を続けることです。

