急増するWordPressの脆弱性と乗っ取り被害 古いプラグイン・テーマが招くリスクと再構築の費用対効果

数年前に制作されたWordPressのホームページ（ウェブサイト）をそのまま運用し続けている場合、画面の表示崩れや動作不良といった表面的な不具合だけでなく、事業そのものを揺るがす深刻な脅威が潜んでいます。

多くのホームページ運営者は、自社のシステムが安全であるという思い込みを持たれている場合があります。

例えば「高額な有料プラグインを導入しているから大丈夫」「管理画面に更新通知が出ていないから最新版だ」「制作会社に専用で作ってもらったオリジナルテーマだから問題ない」といった認識です。

しかし、実際のWebの現場ではこれらが大きな落とし穴となっています。有料プラグインであっても致命的な脆弱性は日常的に発見されます。サーバーのPHPバージョンが古すぎるがゆえに、プラグインの更新通知自体がシステム側で遮断されているケースも少なくありません。

また、管理画面の「サイトヘルス」を確認する習慣がなく、利用中のプラグインが「現在のWordPressバージョンで未検証」のまま放置されていることにも気づきにくい状態にあります。

さらに、制作会社による独自開発のテーマ（作り切り型のテーマ）には、そもそも定期的な更新通知という概念が存在せず、専門的な解析を行わなければ、どの記述が現在の環境で非推奨になっているのか判断すらできません。

そこで今回は、2025年から2026年にかけて急増しているWordPress周辺の脆弱性と、それに伴うホームページの乗っ取り被害について解説します。

特に、古いプラグインやテーマがもたらす致命的な事業リスクを取り上げ、既存システムへの場当たり的な改修と、新規環境への再構築における費用対効果について、より専門的な視点からお伝えします。

2025年から2026年にかけて急激に悪化するWordPressのセキュリティ状況

近年、ホームページ（ウェブサイト）を取り巻くサイバー攻撃の手法は高度化かつ自動化されており、状況は急激に悪化しています。

ここでは、データに基づく脆弱性報告の増加と、それが事業にどのような実害をもたらすのかを技術的なメカニズムを交えて具体的に解説します。

年間1万件を超える脆弱性報告と激化するサイバー攻撃

セキュリティ研究機関のデータによると、2025年にWordPressエコシステム全体で発見された新たな脆弱性は1万1千件を大きく突破しました。これは前年比で40%を超える異常なペースでの増加であり、過去数年分の深刻な欠陥が単年で報告されている状況です。

現在、脆弱性が一般に公開されると、数時間から数日の間にその弱点を突くエクスプロイト（攻撃用プログラム）が作成されます。ホームページを作ってそのまま放置するという過去の運用スタイルは完全に限界を迎えており、常に最新の動向を監視し、即座に対策を講じる体制が求められています。

脆弱性の大部分を占めるサードパーティ製プラグインの構造的欠陥

WordPressが抱える問題の核心は、その構造にあります。発見される脆弱性のうち、WordPress本体（コア）に起因するものは1割にも満たず、全体の9割以上がサードパーティ製のプラグインやテーマから発生しています。

例えば、2025年末から2026年初頭にかけて猛威を振るった「King Addons for Elementor」の事例では、未認証の攻撃者が外部から勝手に管理者権限を持つユーザーを作成できるという致命的な欠陥がありました。

また「Post SMTP」の事例では、ホームページが送信したパスワード再設定メールなどのログを盗み見られ、間接的にアカウントを乗っ取られるリスクがありました。

利便性を高めるために導入した拡張機能が攻撃者の侵入口となってしまう事例が後を絶たず、コストをかけた有料（プレミアム）プラグインであっても全体の報告の約3割を占めているため、有料ならば安全という神話は完全に崩壊しています。

アクセス数の少ないホームページ（ウェブサイト）が無差別に狙われる理由

「うちの会社のホームページはアクセス数が少なく、扱う情報も一般的なものだからハッカーには狙われない」という考え方は非常に危険です。現在のサイバー攻撃は、特定の企業を狙い撃ちにする手動のハッキングではなく、自動化されたプログラム（ボット）によって行われます。

ボットはインターネット上のあらゆるIPアドレスやドメインを24時間体制で無差別に巡回し、古いバージョンのWordPressや、SQLインジェクション（データベースを不正に操作する攻撃）を引き起こす脆弱なプラグインがインストールされていないかを機械的にスキャンします。弱点が見つかれば、事業の規模やアクセス数に関わらず、プログラムによって即座に攻撃が実行されます。

スパム生成やマルウェア拡散による検索エンジン評価の致命的な下落

脆弱性を突かれて管理者権限を奪取されると、ホームページ（ウェブサイト）は完全に攻撃者のコントロール下に置かれます。よくある被害事例として、海外のオンラインカジノや違法薬物に関するスパム記事が数千から数万ページ規模で自動生成されるインデックス汚染があります。

このような状態に陥ると、検索エンジンは該当サイトを「ユーザーに害を及ぼす危険なサイト」として認識し、検索結果から強制的に排除するか、ブラウザ上に真っ赤な警告画面を表示させます。

これを完全に復旧させるためには、スパムとしてインデックスされた数万のURLに対して.htaccessを用いて410 Gone（完全に削除されたことを示すステータスコード）を設定し、検索エンジンに再申請を行うといった非常に高度で大掛かりな作業が必要になります。検索経由のアクセスが長期にわたって途絶え、長年積み上げてきた事業の信頼が瞬時に失墜する深刻な事態を招きます。

ハッキング復旧と脆弱性対策 サーバーのWAFも設定していたのになぜ？【ホームページ修正事例 】

プラグインの放置が引き起こす致命的なリスクと技術的限界

WordPressのカスタマイズにおいてプラグインは非常に便利ですが、その運用管理を怠ることはシステムに時限爆弾を抱えることと同義です。

ここでは、プラグインに特化して、技術的な観点から放置のリスクと対策の難しさをより深く掘り下げていきます。

サイトヘルス確認の欠如と検証未了プラグインの危険性

WordPressの管理画面には「サイトヘルス」という、システムの健全性をチェックする機能が備わっていますが、これを定期的に確認しているホームページ運営者は極めて少数です。

プラグインの一覧画面をよく見ると「お使いのバージョンのWordPressでは未検証」という警告文が小さく表示されていることがあります。

これは、そのプラグインの開発者が最新のWordPress環境での動作確認を放棄しているサインです。機能自体は奇跡的に動いているかもしれませんが、内部のプログラムは最新のセキュリティ基準から外れており、いつ深刻なエラーや情報漏洩を引き起こしてもおかしくない非常に危険な状態を示しています。

開発が停止した古いプラグインを使い続けることの危険性

何年も前に導入したプラグインの中には、すでに開発者がアップデートを完全に停止しているものが数多く存在します。新しいWordPress本体の仕様変更に追従できずエラーを引き起こすだけでなく、未知の脆弱性が発見されても修正パッチが提供されることは二度とありません。

こうした「見捨てられたプラグイン」を有効化したまま稼働させ続けることは、外部に対して常に裏口を開けたままにしているようなものであり、事業継続において極めて高いリスクを伴います。

脆弱性への技術的な修正パッチ適用にかかる想定外の費用

開発が止まったプラグインに致命的な脆弱性が見つかった場合、自社で独自の修正（パッチ適用）を行うという選択肢を考えるかもしれません。しかし、他人が書いた古いソースコードを解読し、現在のセキュリティ基準に合わせて安全に書き直す作業は極めて困難です。

脆弱性の原因となっている箇所（例えば、クロスサイトスクリプティングを引き起こすエスケープ処理の漏れなど）を特定し、現代の記述方法で修正を加えた上で、他の機能に影響が出ないか入念なテストを行う必要があります。元々は無料で導入したプラグインであっても、それに技術的なパッチを当てるためには、数十万円単位の想定外の改修費用が発生するケースが少なくありません。

安全性を確保するための機能停止や代替プラグインへの移行

高額な修正費用を避けるための現実的なアプローチとして、危険なプラグインの機能を潔く停止し、システムから完全に削除する方法があります。もしその機能が事業にとって必須である場合は、現在も活発に開発が続けられている安全性の高い代替プラグインを選定し、システムを移行する必要があります。

ただし、異なるプラグインへ移行する場合は、データベースの構造が変わるため単純なデータ引き継ぎができず、デザインの再調整やショートコードの書き換えなど、一定の工数と専門的な検証作業を伴います。

独自カスタマイズによる機能実装と数年後に訪れる新たなリスク

プラグインに依存したくないという理由から、テーマの関数（functions.phpなど）に独自のカスタマイズコードを記述して希望の機能を実装する方法もあります。

外部の脆弱性に振り回されにくくなるという利点はありますが、これも万能な解決策ではありません。

数年後には、その記述方法自体が新しいバージョンのWordPressやPHPで非推奨となる場合があります。

独自カスタマイズであっても、システム環境の変化に合わせて定期的なコードの保守と見直しを行わなければ、ある日突然ホームページ（ウェブサイト）が真っ白になって表示されなくなるリスクを抱えることになります。

実際の現場で頻発するPHPバージョンと古いテーマの負の連鎖

セキュリティを維持するためにはWordPress本体やプラグインの更新が必要ですが、実際の現場ではそれらの更新ボタンを押すことすらできない状況に陥っているホームページ（ウェブサイト）が多数存在します。

ここでは、サーバーの基盤技術であるPHPと古いテーマが引き起こす負の連鎖と、技術的な障壁について解説します。

PHP7.2などの古い環境がプラグインの更新通知すら止めてしまう仕組み

サーバー上で動作しているPHPのバージョンが古い（例えばPHP7.2や7.4のままになっている）場合、目に見えない深刻な問題が発生します。最新のプラグインやWordPress本体は、セキュリティと処理速度の観点から古いPHP環境のサポートを順次打ち切っています。

そのため、古いPHP環境下では、管理画面上に「新しいバージョンがあります」という更新通知すら表示されなくなります。管理画面上は「すべて最新の状態です」と表示されるため、管理者は安全だと錯覚してしまいます。しかし実際には、何年も前の古いバージョンのまま取り残され、無防備な状態で脅威に晒され続けています。

テーマの非対応によりWordPress本体の更新が限界を迎えるケース

古いPHPバージョンから抜け出すために、サーバーのコントロールパネルからPHPのバージョンを8.1や8.3へ引き上げようとした際に、新たな壁に直面します。

ホームページ（ウェブサイト）の見た目や構造を制御している「テーマ」の記述内容が古い場合、PHPを更新した瞬間に画面が真っ白になる「Fatal Error（致命的なエラー）」が発生します。これは古いテーマ内で使われている関数の非推奨エラーや引数の型の不一致などが原因です。

ホームページが表示されなくなるため、慌てて元の古いPHPバージョンに戻すことになります。結果として、テーマが非対応であるがゆえにPHPを更新できず、PHPが古いからプラグインやWordPress本体も更新できないという、完全に身動きが取れない状態に陥ります。

デザインに変化がなくとも抜本的なテーマ変更やリニューアルが必要な理由

上記のような負の連鎖を断ち切るためには、問題の根源である古いテーマを捨て、最新の環境に対応した新しいテーマに変更する必要があります。事業主側からすれば「見た目のデザインは今のままで良いから、エラーが起きないように中身だけ直してほしい」という要望になるかもしれません。

しかし、システムの中枢であるテーマを差し替えることは、実質的にホームページ（ウェブサイト）をゼロから作り直す作業に等しくなります。表面上のデザイン方向性に変化がなくとも、目に見えない裏側の構造やプログラムを現代の基準に合わせて刷新する抜本的な更新作業が必要になります。

更新されていない独自開発テーマを5年、10年と継続利用することの事業リスク

過去に多額の予算をかけてWeb制作会社に独自開発してもらったオリジナルテーマであっても、納品後に継続的な保守契約を結んでいなければ、時間とともに確実に陳腐化します。作り切り型のテーマには、市販のテーマのような定期的な更新通知という概念が存在しません。

専門的な解析を行わなければ、どの記述が現在の環境で非推奨になっているのか判断すらできない状態です。更新されていない独自テーマを5年、10年と使い続けることは、システムに時限爆弾を抱えたまま事業を運営しているようなものであり、ある日突然ホームページ（ウェブサイト）が機能停止に陥るリスクを常に背負うことになります。

企業における採算性 古いシステムの延命か新規再構築か

ホームページ（ウェブサイト）の老朽化とセキュリティリスクに直面した際、企業は「既存の古いシステムを改修して使い続けるか」あるいは「新しいシステムに作り直すか」という判断を迫られます。

ここでは、事業の採算性という観点から、それぞれの選択肢における工数や費用対効果について解説します。

限界を迎えた古いシステムに場当たり的な延命措置を施すコスト

不具合が発生するたびに、原因を調査してその場しのぎのコード修正を行う運用は、長期的には非常にコスト効率が悪くなります。古いプログラムの改修は、ひとつのエラーを直すためにコードを書き換えると、別の依存していた機能が動かなくなるといった連鎖的なトラブルを引き起こしやすくなります。

見えない不具合に怯えながら毎月の保守費用や突発的な修正費用を払い続けることは、事業の利益を継続的に圧迫する要因となります。

複雑な依存関係を解きほぐすための高度な対策にかかる高額な費用

数年前に構築されたWordPressは、複数の古いプラグインとテーマ、そして古いPHPバージョンが複雑に絡み合って奇跡的に動いている状態です。この複雑な依存関係を解きほぐし、すべてのエラーを解消して現在の高度なセキュリティ基準を満たすように改修しようとすると、数十時間から数百時間規模の専門的な検証と書き換え作業が必要になります。

無料のプラグインを使い続けるためのパッチ当てであっても、エンジニアの高度な技術的介入が必要となるため、新しくホームページ（ウェブサイト）を作り直す費用を大きく上回る高額な見積もりとなることが頻繁にあります。

有益なコンテンツを移管し最新の安全な基盤で再構築するメリット

既存の古いWordPressに無理に手を加えて高額な改修費用をかけるよりも、これまでに蓄積してきたブログ記事、事例紹介、各事業ページのテキストや画像といった「有益なコンテンツ」とURL構造だけを抽出し、まったく新しい安全なWordPress環境へ移管して再構築する方が、はるかに費用対効果が高くなります。

最新のブロックエディタに対応したテーマと必要最小限のプラグインで構成されたクリーンな環境に生まれ変わることで、管理画面の操作性が向上するだけでなく、ページの表示速度改善や最新のSEO要件への適合など、セキュリティ以外の面でも事業に大きな恩恵をもたらします。

長期的な事業継続を見据えた中長期的な費用対効果の考え方

再構築には初期費用がかかりますが、その後の運用における保守のしやすさ、突発的なトラブル対応費用の削減、そして何より乗っ取り被害による事業停止リスクを回避できる点を考慮すれば、中長期的な投資回収率は非常に高くなります。

セキュリティ対策やシステムの刷新を単なる「出費」として捉えるのではなく、事業の信頼と顧客の安全を守り、検索エンジンからのアクセスを安定して獲得し続けるための「インフラ投資」として判断することが重要です。

万が一のサイト破損や乗っ取りに備える最低限の防衛策

予算やスケジュールの都合上、今すぐに抜本的なリニューアルや再構築に踏み切れないケースもあるかもしれません。

しかし、何も対策をせずに放置して良いわけではありません。

ここでは、最悪の事態を想定した現実的な危機管理体制と、被害を最小限に抑えるための施策についてお伝えします。

究極的な選択肢としての「破損時の本格リニューアル」という考え方

老朽化が進みきったホームページ（ウェブサイト）の場合、中途半端な改修に費用をかけることは諦め、「致命的なエラーで画面が真っ白になったり、ハッキングを受けたりしたタイミングで、それを機に本格的なリニューアルを実施する」という割り切った判断も、ひとつの事業戦略として考えられます。

ただし、この戦略を成立させるためには、絶対に欠かしてはならない前提条件が存在します。

被害を最小限に抑え再構築を可能にするコンテンツバックアップの重要性

その前提条件とは、完全なバックアップを定期的に取得し、システムとは切り離された安全な外部環境に保管しておくことです。

デザインを構成するテーマファイルやシステムそのものが破損しても、これまで書き溜めてきた記事のテキストや画像データ、URLの情報といった「データベースとメディアファイル」さえ無事に残っていれば、新しい環境にデータを流し込んで再構築することが十分に可能です。

バックアップは、検索エンジンの評価を維持し、事業の資産を守るための最後の命綱となります。

バックアップが存在しない場合に発生する大掛かりな復旧作業と費用

もし有効なバックアップが存在しない状態でハッキング被害に見舞われた場合、事態は極めて深刻です。すべてのPHPファイルに対してマルウェアのスキャンと手作業での駆除を行い、不正なリダイレクトを引き起こす.htaccessの改ざん箇所を特定して修正する必要があります。

さらに、スパム記事が大量に生成された場合は、検索エンジンに対して410 Goneのステータスコードを設定し、インデックスから削除するための再申請を行うなど、途方もない労力と多額の実費が発生します。

復旧にかかる費用が再構築の費用を軽く超えるだけでなく、最悪の場合は過去数年分のコンテンツを完全に喪失し、検索エンジン経由のアクセスが長期にわたってゼロになる可能性があります。

事業を守るための危機管理体制と定期的な保守運用の見直し

古いWordPressを利用し続けることの危険性を正しく認識し、いつ問題が発生しても迅速に対応できる危機管理体制を整えておくことが重要です。

まずは現状のシステムがどのようなリスクを抱えているのかを専門的な視点で監査し、手動でも構わないのでデータベースとファイルの完全なバックアップ体制を構築することから始めてください。

その上で、既存システムの無理な延命を続けるのか、それともコンテンツを活かして安全な環境へ移管するのか、事業の採算性と照らし合わせながら定期的にホームページ（ウェブサイト）の保守運用方針を見直していくことをお勧めします。

数年前に制作したWordPressのその後 多様な不具合の症状とテーマ変更による根本解決

株式会社ファンフェアファンファーレでは、WordPressの復旧やバックアップ、WordPressサイトの再構築などを手掛けております。古いWordPressサイトをご利用の場合はご相談ください。

WordPressの保守管理 バックアップと復元で対応する

WordPress（ワードプレス）の復旧・復元・エラー修正