WordPressが狙われるのはなぜ？仕組みを分かりやすく解説します

「WordPressはセキュリティ的に危ない」「やめとけ」という言説はたびたび流布します。WordPressの保守運用サービスを提供する会社として本当のところは違うと考えていますが、実際のところWordPressがサイバー攻撃の標的になることが多いことは事実です。

しかし仕組みを理解してどのような面に危険性が潜んでいるか知って対策できていれば、リスクをかなり低減させることができます。

なぜ「狙われやすい」と言われるのか仕組みの側面から分かりやすく解説しますので、WordPressの安全性に不安がある方はぜひ参考にしてください。

１．WordPressは狙われやすくて危険なのか？

冒頭でも述べましたが、結論から言って「WordPressばかり狙われる」「危険だからやめるべき」というわけではありません。

誰が作ったどんなツールにも弱点が存在します。攻撃を避けるために自分でコードを書いてサイトを作ったとしても、脆弱性のリスクがゼロになることは実質不可能です。

しかしWordPressは構築の自由度が非常に高いため、その分リスクヘッジを自分たちでやらなければならないのも確かでしょう。サイバー攻撃の標的にならないよう、対策をしっかり行うことはとても重要です。

→対策はこちら

２．WordPressが狙われやすいのはなぜか？理由５選

WordPressが狙われやすいと言われる原因は何でしょうか？簡単に説明すると「よく知らずに使っている人が多いから」です。

具体的には、大きく分けて5つの要因があると考えています。

無料ゆえにシェアが大きい

W3Techsのデータ※によればWordPressの市場シェアは約62.8％。類を見ないほどシェアが大きいCMSです。

利用者が多い端的な理由の一つは「無料だから」でしょう。サイトの構築にはサーバーやドメインが必要ですが、裏を返せばそれ以外の部分にはほとんどお金がかかりません。

カスタマイズに必要なプラグインやテーマも無料のものがたくさんあるので、CMSの中では参入障壁がとても低いと言えるでしょう。

利用者の多さゆえ、必然的に攻撃に遭うサイトのCMSを調べるとWordPressである可能性も高くなります。単純ですが、これが被害を受ける人が多いと言われる要因の一つです。

更新せず放置している人が多い

サイバー攻撃のターゲットにしやすいのは「セキュリティについて知らない人」です。そしてアップデート（バージョンアップ）の放置はセキュリティに無知であることを最も分かりやすく示す証拠になります。

まずはWordPressの仕組みから考えてみましょう。アップデートには脆弱性を修正するという大切な役割もありますが、オープンソースという性質上強制的に適用されることはありません。バージョンの更新はあくまで自己意思によって行わなければならないということです。

マーケティング担当者がSEO対策やコンテンツ作成業務の一環でWordPressを使用している企業はかなり多いはずです。本来サイトの運用担当はシステムの更新・管理を担うはずですが、マーケティング担当者の最終ミッションは集客効果・売上効果アップなので、直接利益につながらない保守業務を怠りがちになります。

したがって、何らかのエラーや表示崩れが起きるまで更新・管理を放置してしまう担当者が多いのが現実です。

セキュリティリスクを考えると脆弱性を放置すべきではありませんが、シェアの大きさ故どうしても安全管理の重要性に気付かない運用者が一定数出てきます。そういう意味では、攻撃者から見たWordPressはネギをしょったカモがたくさんいる状態に近いのかもしれません。

プラグイン・テーマに脆弱性がある

WordPress本体（コア）は脆弱性が見つかってもすぐに修正されるため、2017年以降大規模なサイバー攻撃は起こっていません。

しかしプラグインやテーマなどの拡張機能は誰でも作れるので、深刻な脆弱性が元から存在するパターンや後から見つかった問題を放置してしまうパターンも多いです。

テーマとプラグインに生じる脆弱性は攻撃者に狙われやすい一因を作っていると言えるでしょう。

プログラムの仕組みが分かりやすい

WordPressはオープンソースのCMSです。「オープンソース」とはプログラムのソースを公開しているという意味であり、プログラムの設計が誰でも見られる・編集できる状態にあることが特徴です。

WordPressが人気なのは管理のしやすさを優先して内部ファイルの設計を簡単にカスタマイズできる仕様にしているからですが、それゆえ攻撃者側から見ても脆弱性を突きやすいという代償を生み出しています。

初期設定ではログイン画面のセキュリティが甘い

WordPressは初期設定のままだとURLアドレス・ログインID・パスワードの3つを揃えるだけで誰でもログインできてしまいます。

管理者権限を持つユーザーの管理画面に入ることさえできれば、内部の情報を入手するのは簡単です。サイトの改ざん、コンテンツの消去などはもちろん、サイトのシステム内部を経由して他のデバイスから情報を抜き取られてしまうかもしれません。

３．WordPressの仕組み・狙われるポイント

WordPressは動的CMSと呼ばれる区分のツールなので、運用者がCMSのインターフェイス（管理画面）から画像やテキストなどのコンテンツを入れることができます。

管理画面からプラグイン、テーマの変更することで簡単にデザインや内部の設定をサイト上に反映できるので、初心者でも簡単にページをカスタマイズできるのも特徴です。

そのため、CMSのデータベースを直接編集する知識がないまま運用しているケースも少なくありません。知識のなさを狙ってハッカーが攻撃を仕掛けてくるのです。

セキュリティ保全を怠った場合、自社サイトが攻撃の対象になっても気が付かない可能性があるのも恐ろしいところです。

４．今すぐできる！WordPressのセキュリティ対策

誤解のないよう何度も言いますが、「WordPressだから狙われやすい」ということはありません。セキュリティに予算を割き、安全にサイトを運用している企業もたくさんあります。

ご自身が運営しているWordPressのサイトにセキュリティ的な懸念があるようでしたら、まずは以下の対策がきちんとできているか確かめてみましょう。

プラグイン・テーマを管理する

プラグイン・テーマの放置はサイトに脆弱性をもたらす一番の原因です。入れたら終わりではなく、管理する必要があることを忘れないでください。具体的には以下の項目を実行できるとよいでしょう。

●使わないものは削除

保守の対象となるサイトの中には使っていないプラグインを「無効化」のまま放置しているパターンが散見されますが、無効化にしたプラグインからも脆弱性をかいくぐられる可能性は十分あります。

使わないことが分かったら削除するようにしてください。

●長期間更新されていないものは使わない

WordPressのテーマやプラグインはバージョンアップに合わせたり、発見された脆弱性を修正したりするために定期的な更新が必要になります。しかし、もちろん義務ではないので中には長期間更新されていないものもたくさんあります。

おすすめ記事などで過去に紹介された有名なプラグインであっても、1年以上更新されていなければ使わないようにしましょう。

●セキュリティ系のプラグインを入れる

先述したように、初期設定の管理画面は不正アクセスを受ける可能性が高まります。

その他にもWAFの設置などセキュリティ強化の機能が入ったプラグインの導入は必須です。

＞＞＞おすすめセキュリティ対策プラグイン記事はこちらから＜＜＜

常に最新バージョンを保つ

WordPress本体（コア）もプラグイン・テーマも、アップデートがあればできるだけ早くインストールするよう心がけましょう。

たまに「表示崩れするから」などの理由でアップデートを放置してしまう運用者も見受けられますが、もし自分で管理が難しいなら外注での保守も検討すべきです。

＞＞＞自社サイトの更新を代行！保守サービスについて詳しく知る＜＜＜

ID・パスワードを管理する

生年月日、1234など推測されやすい文字列を使ったパスワードは危険です。また、ログインのためのIDをドメイン名にしているのも危険なのでやめた方が良いでしょう。

従業員のパスワード管理基準を明確にするために、規定を明文化したパスワードルールを作るのも一つの手です。

セキュリティ診断をする

セキュリティ診断を行うと、サイトに隠れた脆弱性を簡単に見つけることができます。

特に初心者の運用はセキュリティリスクを見落としていることが多いため、企業サイトを安全に保守したい場合は定期的にプロに問題点がないか見てもらった方が安心です。

＞＞＞無料セキュリティ診断はこちらから＜＜＜

５．まとめ

WordPressが狙われやすいと言われる理由は、端的に説明すると「セキュリティについて知らずに運用している人がたくさんいるから」です。

セキュリティ対策をしっかり行い、自分の身は自分で守る体制ができていればリスクが高すぎるということはありません。裏を返せば、セキュリティに予算を割かない企業はWordPressの運用には向いていないと言えるでしょう。

「自社で運用しているWordPressサイトのセキュリティに不安がある」という方は、今からでも保守管理を行うことをおすすめします。

※W3Techs+「Usage statistics of content management systems」