WordPressは本当に危険なのか?―― 脆弱性の“本当の正体”をわかりやすく解説

どうも。

 

「WordPressは危険」そんな話を聞いたことがある人は多いだろう。

実際、近年のWordPress関連の脆弱性報告は急増している。

しかし重要なのは、“何が危険なのか”を正確に理解することだ。

結論から言えば、問題の中心はWordPress本体ではない。

本当に危険なのは、後から追加する大量のプラグインやテーマによる“構造的な問題”である。

 

1. WordPressの脆弱性は異常なペースで増えている

 

セキュリティ企業の調査によると、WordPress関連の脆弱性報告は年々急増している。

  • 2023年:約5,947件
  • 2024年:約7,966件(前年比34%増)
  • 2025年予測:約11,334件(前年比42%増)

2025年予測では、毎日30件以上の新しい脆弱性が見つかっている計算だ。

しかも、2024年に見つかった脆弱性のうち約43%は、

  • ID不要
  • パスワード不要
  • ログイン不要

つまり、誰でも外部から攻撃を試せる危険なタイプだった。

ただし、全てが即死級というわけではない。

実際に悪用される可能性が高いものは全体の一部だ。

とはいえ、数が増え続けていること自体が大きな問題である。

 

2. 実は「WordPress本体」はそこまで危険ではない

 

ここが非常に重要だ。

2024年に見つかったWordPress本体(コア)の脆弱性は、たった7件しかなかった。

では、残りの何千件は何なのか?

その約96%は、

  • プラグイン
  • テーマ

に原因がある。

つまり、WordPressそのものが危険というより、“後から追加する拡張機能”が危険なのだ。

 

これは、「安全なスマホ本体に、怪しいアプリを大量に入れる」ような状態に近い。

 

3. なぜプラグインは危険なのか?

 

理由は単純だ。

数が多すぎるからである。

WordPressには、

  • プラグイン:約6万〜7万本以上
  • テーマ:数万本

が存在する。

合計すると、10万本近い規模になる。

しかも、その多くは大企業ではなく、

  • 個人開発
  • 小規模チーム
  • 副業開発
  • 趣味開発

によって作られている。

つまり、「機能は作れても、セキュリティ管理まで手が回らない」ケースが非常に多い。

 

4. 最大の問題は「放置されたプラグイン」

 

さらに深刻なのが、更新停止されたプラグインだ。

なんと、公式ディレクトリ内の約59%が、2年以上更新されていないと言われている。

つまり、

  • 開発者が消えた
  • メンテナンス停止
  • 脆弱性放置

という状態のものが大量に存在する。

 

しかしWordPress側は、「古いですよ」という警告は出しても、自動削除はしない。

そのため、危険なプラグインが今も普通に公開され続けている状態である。

 

5. 「人気プラグインだから安全」は危険

 

多くの人は、インストール数が多い=安全と思っている。

しかし現実は逆だ。

人気プラグインは、攻撃者にとって“最も効率が良い標的”になる。

なぜなら、「1つの脆弱性で大量のサイトを攻撃できる」からだ。

実際、2024年には、インストール数10万超えの人気プラグインからも1000件以上の脆弱性が発見されている。

つまり、人気=安全ではない。

むしろ、人気=狙われやすいでもある。

 

6. 有料テーマにも危険はある

 

「無料より有料のほうが安全」と思う人も多いが、一概には言えない。

特にプレミアムテーマは、

  • コードが非公開
  • 外部調査が入りにくい
  • ブラックボックス化しやすい

という問題がある。

そのため、脆弱性が長期間見つからず放置されるケースもある。

 

7. EUがついに法規制へ

 

この状況を受けて、EUではサイバーレジリエンス法(CRA)という新しい法律が作られた。

2026年以降は、オープンソース開発者ですら、

  • 深刻な脆弱性の報告
  • ユーザー通知

などが法的義務になる。

つまり、これまでの「善意で運営」から、「法的責任を伴う時代」へ変わろうとしている。

これは、GDPR級の大きな転換点になる可能性がある。

 

8. WordPressユーザーが本当にやるべきこと

 

重要なのは、プラグインを「便利機能」ではなく、“管理が必要な負債”として見ることだ。

 

今すぐやるべき対策

① 使っていないプラグインは削除

 

「無効化」では不十分だ。

完全に削除してほしい。

 

② 更新停止プラグインを使わない

 

2年以上更新が止まっているものは危険信号だ。

今動いていても、将来的に危険化する可能性がある。

 

③ プラグインは“入れて終わり”ではない

 

WordPress運営は、

  • 更新
  • 管理
  • 監視
  • バックアップ

を継続する必要がある。

つまり、便利さの代わりに“管理コスト”を払う世界なのだ。

 

最後に

 

WordPress自体は非常に便利で強力なシステムだ。

問題なのは、その自由度が高すぎること。

自由度が高いということは、同時に、自己責任の領域も広いという意味でもある。

だからこそ、「便利だから入れる」ではなく、本当に必要か?開発は継続されているか?信頼できるか?を考えながら使う時代になっている。

 

 

 

安全性の高いプラグインを見分ける基準はある?

(ChatGPTに質問した回答だ)

 

あります。ただし重要なのは、「絶対安全なプラグイン」は存在しないという前提です。

なので実際は、“危険なものを避ける確率を上げる”という考え方になります。

WordPress運営者が見るべきポイントを、実用重視で並べるとこんな感じです。

 

安全性の高いプラグインを見分ける基準

1. 最重要:「更新頻度」

 

まずここです。

理想
  • 数週間〜数ヶ月以内に更新
  • WordPress最新版対応
  • 定期的にアップデートされている
危険信号
  • 1年以上更新なし
  • 2年以上更新停止
  • 「このWordPressバージョンでは未検証」

これはかなり危険です。

なぜなら、WordPress本体は更新され続けるので、古いコードは徐々に壊れていくからです。

 

2. 「利用者数」が多い

 

これは完全安全ではないですが、重要です。

例えば、

  • 10件インストール
  • 100万件インストール

なら後者のほうが圧倒的にマシです。

理由は、

  • 利用者が多い
  • バグ報告が来る
  • セキュリティ研究者に監視される
  • 開発継続の利益がある

からです。

ただし注意点として、人気=狙われやすいでもあります。

なので、「人気だから安心」ではなく、“放置されにくい”という意味で見るのが重要です。

 

3. 「開発元」が明確

 

かなり大事です。

安全寄り
  • 法人開発
  • 長年運営
  • セキュリティポリシーあり
  • 公式サイトが存在
  • サポート体制あり
危険寄り
  • 正体不明
  • 個人ブログだけ
  • GitHub放置
  • 作者が消えている

特に、

  • 作者サイトが死んでいる
  • サポートフォーラム無反応

は危険信号です。

 

4. 「必要最小限」の機能か

 

これはかなり重要です。

危険になりやすい例
  • 万能SEO
  • 超多機能
  • 何でもできる
  • 管理権限を広く要求

こういうものはコード量が膨大になります。

コード量が増えるほど、脆弱性も増えやすいです。

 

5. 「権限」を見ろ

 

特に危険なのが、

  • ファイル操作
  • PHP実行
  • 管理者権限変更
  • DB直接操作
  • 外部API通信

を行うプラグインです。

例えば、

  • バックアップ系
  • ファイルマネージャー系
  • ノーコード実行系
  • 自動投稿系

は便利ですが、侵害時の被害も大きくなります。

 

6. 「レビュー」を読む

 

ただし星だけ見ない。

重要なのは、

  • 更新後に壊れた報告
  • サポート対応
  • セキュリティ事故
  • 放置感

です。

低評価レビューに本音が出やすいです。 

 

7. 「GPLクラブ」は危険寄り

 

これはかなり重要。

海外には、

  • 有料テーマ
  • 有料プラグイン

を再配布する「GPLクラブ」があります。

しかし、

  • 改造済み
  • マルウェア混入
  • バックドア

の危険があります。

なので、必ず公式配布元から入れるが鉄則です。

 

8. 「プラグイン数」を減らす

 

実はこれが最強です。

例えば、

  • 5個
  • 25個

では攻撃面積が全然違います。

WordPressは、“入れれば入れるほどリスクが増える”構造です。

だから上級者ほど、

  • functions.php
  • 軽量コード
  • 最小構成

を好みます。

 

実用的な判断ライン

 

個人的に、かなり現実的なのはこの基準です。

比較的安全寄り
  • 半年以内更新
  • 利用者10万以上
  • 法人運営
  • サポート継続
  • 機能が明確
  • WordPress最新版対応
危険寄り
  • 2年以上放置
  • 作者不明
  • 利用者少ない
  • レビュー荒れてる
  • 多機能すぎる
  • GitHub停止

 

最後に

WordPress運営は、「便利機能を追加するゲーム」ではなく、「不要なリスクをどれだけ減らすか」という防衛ゲームでもある。

なので、「これ便利そう!」より、「本当に必要か?」を優先するだけでも、かなり安全性は変わる。

 

 

僕の入れているテーマやプラグイン。

(ChatGPTに質問した回答だ)

 

結論から言うと、あなたの構成は、「初心者〜中級者としては比較的まとも」ただし、いくつか“注意ポイント”はあるという感じです。

特に、

  • 怪しいGPL系
  • 放置プラグイン
  • 無名プラグイン乱用

みたいな危険構成ではないので、その点はかなり良いです。

ただし、WordPressの世界では、「有名=安全」ではないので、“継続管理”が重要になります。

1つずつ見ます。

テーマ:Blocksy
総評

かなり良い部類です。

  • 利用者多い
  • 更新頻度高い
  • 開発継続中
  • 軽量
  • 評判も比較的良い

ので、「無名テーマ地獄」ではありません。

また、Blocksyは近年かなり人気があります。

 

ただし注意点

脆弱性がゼロではありません。

2025〜2026にも脆弱性報告があります。

ただし内容を見ると、

  • 管理者権限絡み
  • Contributor以上必要
  • 条件付き

など、「即死級リモート侵害」ではないものが中心です。

つまり、「危険テーマだからやめろ」レベルではないです。

むしろ、人気テーマだから研究されやすいという側面が大きいです。

 

Blocksy Companion
総評

「Blocksy使うならほぼセット」なので自然です。

ただし、テーマ連携系プラグインはテーマ本体より攻撃面積が広がります。

なので、

  • 不要機能OFF
  • Pro機能未使用なら削減検討

はありです。

 

Easy Digital Downloads(EDD)
総評

かなり有名で実績があります。

あなたの用途(PDF販売)とも相性が良いです。

ただし、EC系は“最重要防御対象”です。

なぜなら、

  • 決済
  • 顧客情報
  • メール
  • ダウンロードURL

を扱うからです。

 

注意点

EDDは近年も脆弱性報告があります。

ただしこれは逆に、大規模・人気ゆえに研究されまくっているとも言えます。

無名ECプラグインよりは、むしろ安全寄りです。

 

重要

EDDは、

  • 常に最新版
  • Stripeアドオン最新版
  • 未使用アドオン削除

がかなり重要です。

特にEC系は、「1年放置」が一番危険です。

 

SiteGuard WP Plugin
総評

かなり無難。

日本では定番です。

  • 国産
  • JP-Secure開発
  • 利用者多い
  • ログイン防御特化

で、初心者〜中級者にはかなり良いです。

 

ただし注意

これも脆弱性報告はあります。

ここが重要なのですが、セキュリティプラグイン自体も脆弱になるのがWordPress世界です。

なので、「セキュリティプラグイン入れたから安心」ではありません。

 

Stackable – Gutenberg Blocks
総評

ここはやや注意。

理由は、ブロック追加系はコード量が多いからです。

特に、

  • UI系
  • エディタ拡張
  • JS大量
  • CSS大量

は攻撃面積が広くなります。

 

あなたの構成での立ち位置

危険寄りではないですが、「本当に必要か?」は考えたほうがいいです。

特に、「数個のブロックしか使ってない」なら、削減候補になります。

 

UpdraftPlus
総評

かなり良い。

バックアップ系では超定番です。

ただし、バックアップ系は権限が超強いので、侵害された場合の被害も大きいです。

 

重要

特にやるべきなのは、

  • 自動バックアップ
  • 外部保存
  • 復元テスト

です。

バックアップは、「ある」だけでは意味がないです。

復元できないと終わります。

 

WP 2FA
総評

良いです。

むしろ、2FAは今の時代かなり重要です。

特にあなたは、

  • PDF販売
  • Stripe
  • 顧客データ

を扱うので、管理画面突破リスクを下げる意味があります。

 

注意点

ただし、

  • ロックアウト
  • スマホ故障
  • 復旧コード紛失

には注意。

必ず、

  • Recovery Codes保存
  • 別端末保管

をしてください。

 

WP Statistics
総評

ここはやや微妙。

理由は、DB負荷が重くなりやすいからです。

また統計系は、

  • ログ
  • IP
  • リクエスト

を大量に扱うため、攻撃面積も増えます。

 

個人的には

軽量志向なら、

  • Cloudflare Analytics
  • サーバーログ解析

寄りのほうが好みです。

ただし、WP Statistics自体が即危険という意味ではありません。

 

あなたの全体構成の評価
良い点
  • 無名危険プラグイン少ない
  • 目的が明確
  • 変なGPL系なし
  • セキュリティ意識高め
  • プラグイン数が比較的少ない

これはかなり良いです。

 

気になる点
① EDDがある

つまり、攻撃価値があるサイトになっています。

単なるブログより狙われやすい。

 

② WordPress依存度が高い
  • テーマ
  • Companion
  • Gutenberg拡張

が積み重なると、複雑性が上がります。

 

③ バックアップ依存

UpdraftPlusは良いですが、復元訓練をしていない人が多い。

 

個人的に追加したいもの
Cloudflare

かなりおすすめ。

  • WAF
  • Bot対策
  • CDN
  • IP隠蔽

が大きい。

特にあなたみたいな、

  • PDF販売
  • 個人運営
  • セキュリティ重視

とは相性が良いです。

 

最後に

あなたの構成は、「WordPressを雑に運営してる人」よりかなり良いです。

ただしWordPressは、“安全”ではなく、“継続管理で危険を減らす世界”です。

なので本当に重要なのは、

  • 更新
  • 不要削除
  • バックアップ
  • 権限最小化
  • 監視

を続けることです。

 

 

返信を残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA