【2026年版】WordPressの脆弱性診断とすぐできるセキュリティチェックリスト
「うちの会社のホームページなんて誰も見てないし、ハッカーに狙われるわけないよ」——経営者の方とお話しすると、この言葉をよく耳にします。しかし、これは致命的な誤解です。
2026年現在、WordPressサイトへのサイバー攻撃の99%は、「人間のハッカーが標的を絞って行うもの」ではなく、「自動化されたボットが24時間365日、世界中のサイトを無差別に攻撃して回っているもの」です。つまり、サイトの規模やアクセス数は全く関係ありません。パスワードが弱く、システムが古いサイトが機械的に乗っ取られ、「スパムメールの送信元」や「フィッシング詐欺の踏み台」にされてしまうのです。
結論から言うと、会社の信頼と顧客データを守るためには、定期的な「脆弱性診断(弱点のチェック)」と「基本的な防御設定」が不可欠です。この記事では、専門知識がなくてもチェックできる、WordPressの最新セキュリティ対策を解説します。
なぜWordPressは狙われるのか?(脆弱性の3大要因)
WordPressは世界中のWebサイトの約43%で使われている圧倒的なシェアを誇ります。利用者が多いということは、攻撃者にとって「一度攻撃ツールを作れば、何百万ものサイトを効率よく攻撃できる、最も美味しい標的」であることを意味します。
ハッキング被害の主な侵入ルート
| 侵入ルート | 割合(目安) | 具体的な原因 |
|---|---|---|
| プラグインの脆弱性 | 約50%〜60% | 長期間アップデートされていない、または開発が停止した古いプラグインを放置している。 |
| ブルートフォース攻撃 | 約15%〜20% | ログイン画面(wp-admin)で、安易なパスワードが総当たり攻撃で見破られる。 |
| テーマの脆弱性 | 約10% | 古いバージョンや、海賊版(無料配布されている有料テーマ)へのバックドアの仕込み。 |
| WordPressコアの脆弱性 | 約5%未満 | バージョン更新を行わず、古いWordPress本体(メジャーバージョン)を使い続けている。 |
⚠️ 注意:攻撃の過半数は「プラグイン」から起こります。「とりあえず便利そうだから」とインストールし、その後使っていないのに有効化したまま(あるいは無効化して放置している)プラグインは、強盗にとっての「鍵が開いたままの裏口」と同じです。
自分でできる「脆弱性セルフチェック」のやり方
専門企業に高額な診断を依頼する前に、管理画面からいくつかの項目を確認するだけで、危険度の高い脆弱性をあぶり出せます。
ステップ1:「サイトヘルス」を確認する
WordPressには標準で「サイトの健康状態」をチェックする機能が備わっています。
- 管理画面の左メニューから「ツール」>「サイトヘルス」をクリックします。
- 「ステータス」タブで「良好」となっているか確認します。
- 赤いアイコンで「致命的な問題」、またはオレンジ色で「おすすめの改善」が表示されている場合、その指示に従って修正(不要なテーマの削除、PHPの更新など)を行います。
ステップ2:放置されたプラグインとテーマの「断捨離」
断捨離の3か条
- 無効化してあるプラグインは「削除」する(無効化していてもファイルがサーバーにあれば攻撃対象になります)。
- 1年以上更新(アップデート)が提供されていないプラグインは代替品を探す。
- 現在使用しているテーマと、デフォルトテーマ(最新のTwenty Twenty-Four等)の「2つ」だけを残し、他のテーマはすべて削除する。
【2026年版】WordPressセキュリティ・チェックリスト
既存の脆弱性を排除したら、次は「攻撃を防ぐ防御壁」を構築します。以下のチェックリストに沿って対策を進めてください。
必須対策レベル(絶対にやっておくべきこと)
- [ ] WordPressコア・テーマ・プラグインを常に最新に保っている
– マイナーアップデート(自動更新)は有効にし、プラグインも可能な限り自動更新設定にする。
- [ ] ユーザー名を「admin」にしていない
– adminを使っている場合は、新しい管理者権限のユーザーを作り、古いadminアカウントを直ちに削除する。
- [ ] 推測されにくい強力なパスワードを使用している
– パスワードマネージャーで生成した、英数字記号混じりの16桁以上を推奨。
- [ ] 定期的な自動バックアップを取得し、復元テストを行っている
– 「UpdraftPlus」等のプラグインを使い、サーバー外(Google DriveやDropbox等)にバックアップを保存しているか。これがあれば、最悪ハッキングされても前日の状態にすぐ戻せます。
推奨対策レベル(防御力を劇的に高める設定)
💡 ポイント:以下の対策は「セキュリティプラグイン(Wordfence、Solid Security等)」を1つ導入すれば、ほぼすべて設定可能です。
- [ ] 二段階認証(2FA)を導入している
– スマホアプリ(Google Authenticator等)による認証コードを必須にする。これで不正ログインの99%を防げます。
- [ ] ログイン試行回数を制限している
– パスワードを5回連続で間違えたら、そのIPアドレスからのアクセスを24時間ブロックする「ブルートフォース攻撃対策」。
- [ ] WAF(Web Application Firewall)を有効にしている
– エックスサーバーやConoHa WINGなど、サーバーのコントロールパネルにある「WAF設定」をONにする。SQLインジェクション等の攻撃をサーバー手前で弾き返します。
- [ ] XML-RPC機能を無効化している
– リモート投稿などを利用していない場合、セキュリティプラグインで無効化し、攻撃の窓口を塞ぐ。
もし「改ざん」や「ハッキング」が疑われたら?
「サイトを開くと全然違う怪しい英語のサイトに飛ばされる」「Googleの検索結果で『このサイトは第三者によってハッキングされている可能性があります』と表示される」——こうなってしまった場合の初動対応です。
- 絶対に触らない・ログインしない: パスワードを抜き取られる可能性があるため、慌ててWordPressの管理画面にログインしないでください。
- 保守業者・サーバー会社に即連絡: 専門家に調査を依頼し、被害の全容を把握します。
- バックアップからの復旧とマルウェア(ウイルス)の除去: 感染前のクリーンな状態にバックアップから復旧し、同時に脆弱性(侵入経路)を特定して塞ぎます。
- パスワードと認証キーの全リセット: 管理者、FTP、データベースなどの全パスワードを変更します。
✅ 復旧には専門知識が必要で、場合によっては数十万の費用と数週間のビジネス停止リスクが伴います。だからこそ、「月々の無料プラグインでの保守+サーバーWAFの有効化」というコストゼロの対策を事前にやっておくことが超重要なのです。
まとめ——セキュリティ対策は「一番安い保険」
「うちの業界はITに疎いから」「予算がないから」とセキュリティ対策を後回しにする企業ほど、いざ被害に遭ったときの損害(顧客データ流出による信用失墜、Googleインデックスからの削除、復旧費用)に耐えられません。
今日から始めるセルフディフェンス3手
- ① 管理画面で「使っていないプラグイン」をすべて削除する
- ② WordPress、テーマ、プラグインを「今すぐ最新版に更新」する
- ③ 管理者のユーザー名が「admin」でないか確認し、パスワードを複雑にする
まずはこの10分で終わる3つの作業から始めてください。それだけで、あなたの会社のWordPressサイトは、全世界の標的の「下位50%(狙いやすい層)」から脱出することができます。
WordPressの保守・セキュリティにご不安な方へ
「現在の自社サイトが安全なのかプロにチェックしてほしい」「保守を安心できる業者に丸投げしたい」という方へ。
Acquaでは、脆弱性診断から定期バックアップ、バージョン管理をすべて任せられる保守・運用サポートを提供しています。
お気軽にお問い合わせください。
この記事を書いた人:進藤 優介|株式会社Acqua 代表取締役
飲食業界18年の実務経験を経て、Web制作・デジタルマーケティングの世界へ転身。2020年にAcquaを設立し、AI×Webの力で中小企業のビジネスを加速させることをミッションに、HP制作・LP制作からAI導入支援まで代表自らが伴走しています。