🦊 インフラ 2026-05-13 · 約 14 分

WordPress 脆弱性事例集
古いプラグインがサイトを乗っ取った日

全 Web サイトの 40% 以上が WordPress。 だからこそ攻撃者の 標的になりやすい。 過去の重大脆弱性、 典型的な攻撃パターン、 そして自社サイトを守る最低限の自衛策をまとめます。

1. なぜ WordPress が狙われるのか

全 Web サイトの 約 43% が WordPress で動いています (W3Techs 統計)。 これは圧倒的なシェア。 攻撃者にとっては 1 つの脆弱性を見つけると数百万サイトを攻撃できる ターゲットになります。

さらに WordPress の特性が攻撃を容易にしています:

  • プラグイン文化: 平均 20+ のプラグインを入れるサイトが多く、 1 つでも古いと侵入経路に
  • 個人運営サイトの多さ: セキュリティ知識のない運営者が多く、 更新を放置しがち
  • 管理画面 URL が標準化: /wp-admin, /wp-login.php で誰でも特定可能
  • 古いテーマ / プラグインの放置: メンテナンス停止された製品が現役で使われている

2. 過去の重大脆弱性事例 5 件

📌 Contact Form 7 (CVE-2020-35489) ── 2020 年

バージョン 5.3.2 未満で 無制限ファイルアップロード脆弱性。 攻撃者は PHP シェルをアップロードしてサイト乗っ取り。 500 万サイト以上がインストール、 影響が国内中小企業の WP サイトに広範に及んだ。

📌 WP File Manager (CVE-2020-25213) ── 2020 年

バージョン 6.9 未満で 認証なしのリモートコード実行。 攻撃者は管理者権限なしでサーバー上の任意ファイルを操作。 数百万サイトが マルウェア配布の踏み台 に。

📌 Elementor Pro (CVE-2020-15321) ── 2020 年

人気ページビルダー Elementor Pro の脆弱性で、 攻撃者が 管理者アカウント作成 可能に。 他プラグインとの組み合わせ攻撃で 1 ヶ月で 30 万サイト被害

📌 LiteSpeed Cache (CVE-2024-28000) ── 2024 年

500 万サイト超で利用される高速化プラグインの 権限昇格脆弱性。 ハッカーが管理者として任意操作可能、 世界中で大規模なサイト改ざんキャンペーンが発生。

📌 WordPress 本体 4.7-4.7.1 (CVE-2017-1001000) ── 2017 年

WordPress 本体の REST API 脆弱性で 認証なしのコンテンツ書き換え。 攻撃者が記事を改ざんし、 150 万件以上のページが書き換えられる大規模事件に発展。

重要なのは これらすべて「修正パッチがリリースされていた」 こと。 更新を当てていなかったサイトだけが被害に遭いました。

3. 攻撃の典型パターン 4 つ

🎯 マルウェア配布の踏み台

サイトに 悪意ある JS を埋め込み、 訪問者にウイルス感染や偽ソフトインストールを誘導。 Google は 「危険サイト」マーク を付け、 訪問者は警告画面で離脱。

🎣 フィッシングサイト誘導

サイトに 偽の銀行ログイン画面 や偽 EC を埋め込み、 訪問者のパスワード / カード情報を盗む。 自社サイトが 犯罪インフラに。

📈 SEO スパム埋め込み

訪問者には見えない隠しテキストで 違法商品 / アダルト系のリンクを大量に埋め込み、 攻撃者のサイトの SEO 評価を上げる。 結果あなたのサイトの Google 評価が悪化。

💰 仮想通貨マイニング

訪問者のブラウザで 仮想通貨マイニングスクリプトを実行、 攻撃者の収益化。 訪問者の PC が重くなり、 即離脱 + 悪評につながる。

4. 最低限の自衛策

  1. 自動更新を ON: WordPress 本体 + プラグイン + テーマで自動更新を有効化。 重大セキュリティパッチは自動適用。
  2. 不要プラグインを削除: 使ってないプラグインも 脆弱性の温床。 完全に削除 (無効化だけでなく)。
  3. 管理画面の URL 変更: /wp-admin を別 URL に。 WPS Hide Login プラグイン等で対応。
  4. 強い管理者パスワード + 2FA: 12 文字以上のランダム + 2 段階認証。 Brute force 攻撃の主要防御。
  5. 定期バックアップ: 週次でフルバックアップ + 別サーバー保管。 ハッキング後の復旧の鍵。
  6. セキュリティプラグイン導入: Wordfence / iThemes Security 等で侵入検知 + ログイン試行制限。

5. プラグイン選びの目利き

新規プラグイン導入時のチェックポイント:

  • 最終更新日: 6 ヶ月以内に更新されているか (放棄プラグインは避ける)
  • インストール数: 1 万以上は信頼の指標 (少数派は人柱リスク)
  • レビュー評価: 4.0 以上 + 直近のネガティブレビューが無いか
  • WordPress.org 公式ディレクトリ: 公式以外からのインストールは慎重に
  • 過去の CVE 履歴: WPScan で過去脆弱性を確認
  • 開発元の素性: 個人開発か企業開発か、 メンテ体制の強さ

6. ハッキング後の復旧フロー

万一ハッキングされた場合の対応:

  1. 即座にメンテナンスモード: 訪問者の二次被害を防ぐため、 サイトを公開停止
  2. 全パスワード変更: WordPress / FTP / DB / レンタルサーバー管理画面
  3. 侵入経路の特定: アクセスログ / WordPress ログ / プラグインの脆弱性履歴
  4. マルウェア除去: Wordfence Scan / Sucuri SiteCheck で侵入物検出 + 削除
  5. バックアップから復元: 侵入前の正常バックアップから戻すのが最も確実
  6. Google Search Console から再審査: 「危険サイト」マークの解除申請
  7. 侵入経路を塞ぐ: パッチ適用 + 不要プラグイン削除 + 設定見直し
  8. 専門家への相談: 自力で難しい場合は IT インフラ専門家へ

復旧には通常 1-2 週間。 ただし Google の警告マーク解除 はさらに数週間。 売上 / 信用への影響は数ヶ月続きます。 だからこそ 予防が圧倒的に重要 です。

7. まとめ

  • WordPress は シェアが大きいからこそ攻撃者の主要ターゲット
  • 過去の重大脆弱性 (Contact Form 7 / File Manager / Elementor 等) はすべて パッチ済 だった
  • 攻撃パターンは マルウェア配布 / フィッシング / SEO スパム / マイニング
  • 自衛は 自動更新 + 不要削除 + 強パスワード + 2FA + バックアップ + セキュリティプラグイン
  • 本ツール (Chrome 拡張) で WP / PHP / 主要プラグインのバージョンを 1 クリック照合

自社の WordPress、 古くない?

Chrome 拡張で 1 クリック、 WP / PHP / 主要プラグインのバージョン + 既知脆弱性を判定。

🌐 Chrome に追加 (無料) 💻 IT インフラ LINE で相談