【Quick Answer】WordPressの脆弱性を診断するには?
> WordPressの脆弱性診断は、WPScan(無料)やJetpack Protect(無料プラグイン)でWordPress本体・プラグイン・テーマの既知の脆弱性をチェックできます。さらにAIテスト番人でSSL証明書・リンク切れ・Core Web Vitalsを日本語で一括診断すれば、セキュリティと表示品質の両方を網羅できます。WordPressサイトへの攻撃は1日約9万件発生しており、古いプラグインが最大の攻撃経路です。
なぜWordPressサイトは攻撃されやすいのか?
WordPress脆弱性とは、WordPress本体・プラグイン・テーマに存在するセキュリティ上の欠陥のことです。攻撃者はこの欠陥を利用して不正アクセスやマルウェア埋め込みを行います。
世界のWebサイトの43%がWordPressで構築されており(W3Techs, 2026年)、その圧倒的なシェアゆえに攻撃者にとって効率的なターゲットとなっています。1つの脆弱性を見つければ数百万サイトに適用できるためです。
WordPress攻撃に関する統計:
- WordPressサイトへの攻撃: 1日約9万件(Wordfence, 2025年レポート)
- 攻撃の97%以上がプラグインの脆弱性を経由(Patchstack, 2025年レポート)
- 脆弱性の内訳: プラグイン52%、WP本体37%、テーマ11%
WordPressで実際に起きた被害事例
事例1: プラグイン脆弱性によるサイト改ざん
古いContact Form 7の脆弱性を突かれ、フォーム送信先が攻撃者のメールアドレスに書き換えられた事例があります。顧客からの問い合わせ情報が数ヶ月間外部に流出し、発覚まで気づけなかったケースです。
事例2: マルウェア埋め込みによる被害拡大
放置されたWordPressサイトにマルウェアが埋め込まれ、訪問者のブラウザで仮想通貨マイニングスクリプトが実行された事例があります。Google Search Consoleから「セキュリティの問題」警告が届き、検索結果から除外されました。
事例3: 管理画面への不正ログイン
デフォルトの/wp-admin/ URL+弱いパスワード(admin/password123)でブルートフォース攻撃を受け、管理画面を乗っ取られた事例があります。サイト全体がフィッシングページに書き換えられ、ブラックリスト登録されました。
これらは大企業だけの話ではありません。むしろ中小企業のサイトは対策が手薄なため、攻撃者にとって狙いやすいターゲットです。放置サイトのリスクについてはホームページ放置の5大リスクもご覧ください。
WordPress脆弱性を診断する無料ツール5選
1. WPScan(ブラウザ版)
URLを入力するだけでWordPressバージョン・プラグイン・テーマの脆弱性を検出します。50,000件以上の既知の脆弱性データベースを収録した、WordPress専門の診断ツールです。最大のWP脆弱性DBを持ち無料で利用できますが、英語のみで詳細レポートは有料、UIがやや技術者向けです。
2. Jetpack Protect(無料プラグイン)
WordPressダッシュボードから脆弱性をスキャンできる公式プラグインです。WPScanデータベースを利用しており、日本語UIで自動スキャンが可能です。インストールが簡単で管理画面から操作できますが、マルウェアスキャンは有料プランのみです。
3. Wordfence Security(無料プラグイン)
ファイアウォール+マルウェアスキャナー+ログインセキュリティを統合したプラグインです。総合的なセキュリティ機能・リアルタイム防御・ログイン監視を備えています。無料版はルール更新が30日遅れ、サイト動作が重くなることがある点が欠点です。
4. Sucuri SiteCheck(ブラウザ版)
URLを入力してマルウェア・ブラックリスト・スパムを検出します。インストール不要でマルウェア検出に強い反面、英語のみで脆弱性診断よりもマルウェア検出に特化しています。
5. AIテスト番人(ブラウザ版 — 総合診断)
SSL証明書グレード・Core Web Vitals・リンク切れ・SEO診断を日本語で一括レポートします。WordPress固有の脆弱性DBは持ちませんが、SSLの期限切れ・HTTPSリダイレクト・リンク切れなどサイト全体の健全性を総合診断できます。LINE通知で異常を即座に検知できる点が他ツールにない強みです。WPScan + AIテスト番人の併用が最も効果的な組み合わせです。
他ツールとの詳細比較はサイト診断ツール徹底比較をご覧ください。
ツール比較表:
| ツール | 形式 | 日本語 | WP脆弱性DB | マルウェア検出 | SSL確認 | 表示速度 | LINE通知 | 料金 |
|---|---|---|---|---|---|---|---|---|
| WPScan | ブラウザ | なし | 50,000+ | なし | なし | なし | なし | 無料/有料 |
| Jetpack Protect | プラグイン | あり | あり | 有料のみ | なし | なし | なし | 無料/有料 |
| Wordfence | プラグイン | あり | あり | あり | なし | なし | なし | 無料/有料 |
| Sucuri SiteCheck | ブラウザ | なし | 一部 | あり | 一部 | なし | なし | 無料/有料 |
| AIテスト番人 | ブラウザ | あり | なし | なし | あり | あり | あり | 無料/980円 |
中小企業が今すぐやるべきWordPressセキュリティ対策8選
対策1: WordPress本体を最新バージョンに更新
ダッシュボード → 更新 で1クリックで更新できます。ただし更新前にバックアップを必ず取得してください。自動更新を有効にするのが最も安全で、wp-config.phpに define WP_AUTO_UPDATE_CORE true を追加すると設定できます。
対策2: プラグインとテーマを全て更新・不要なものを削除
攻撃の97%がプラグイン経由です。使っていないプラグイン・テーマは「無効化」ではなく「削除」することが重要です。無効化しただけのプラグインにも脆弱性は残るためです。プラグインは必要最小限(10個以下)に絞りましょう。
対策3: 管理画面のログインURLを変更
デフォルトの /wp-admin/ や /wp-login.php を変更するだけで、ブルートフォース攻撃の90%以上を防げます。WPS Hide Loginプラグイン(無料)で簡単に変更できます。
対策4: 強力なパスワード+二段階認証の設定
12文字以上・大小文字+数字+記号の組み合わせにしましょう。「admin」「password」「123456」は攻撃辞書の上位3つです。Google AuthenticatorかWordfenceの2FA機能で二段階認証を有効化するとさらに安全です。
対策5: SSL証明書を確認・定期監視する
Let's Encrypt(無料)のSSL証明書で十分な暗号化強度が確保できます。有効期限の監視はAIテスト番人のLINE通知で自動化できます。SSL証明書のグレード確認方法はSSL証明書の確認方法と有効期限切れ対策をご参照ください。
対策6: 定期的なバックアップの設定
UpdraftPlus(無料プラグイン)で週1回以上、データベース+ファイルの両方を自動バックアップします。バックアップの保存先はサイトと別の場所(Google Drive・Dropbox等)にすることが重要です。サーバーが侵害された場合、同じサーバーのバックアップも失われるリスクがあります。
対策7: ファイル編集を無効化する
wp-config.phpに DISALLOW_FILE_EDIT の定数を追加することで、管理画面からのテーマ・プラグインのコード編集を無効化できます。万が一不正ログインされても、マルウェア埋め込みによる被害を最小化できます。
対策8: セキュリティヘッダーの設定
X-Content-Type-Options・X-Frame-Options・Content-Security-Policyを設定します。レンタルサーバーの場合は .htaccess に追記するか、Really Simple SSLプラグインで設定できます。
WordPressセキュリティ対策チェックリスト
| # | 項目 | 完了 | 優先度 |
|---|---|---|---|
| 1 | WordPress本体が最新バージョン | チェック | 必須 |
| 2 | 全プラグインが最新バージョン | チェック | 必須 |
| 3 | 全テーマが最新バージョン | チェック | 必須 |
| 4 | 使っていないプラグイン・テーマを削除 | チェック | 必須 |
| 5 | 管理画面URL変更済み | チェック | 推奨 |
| 6 | 強いパスワード設定済み | チェック | 必須 |
| 7 | 二段階認証を有効化 | チェック | 推奨 |
| 8 | SSL証明書が有効(Grade A以上) | チェック | 必須 |
| 9 | 定期バックアップ設定済み | チェック | 必須 |
| 10 | ファイル編集を無効化 | チェック | 推奨 |
| 11 | セキュリティヘッダー設定済み | チェック | 推奨 |
| 12 | AIテスト番人で定期監視設定済み | チェック | 推奨 |
LINEによるサイト監視の設定方法はLINEでサイト監視・ダウン通知を受け取る方法で詳しく解説しています。
よくある質問(FAQ)
Q1. WordPressは他のCMSより危険ですか?
WordPress自体が危険なわけではありません。世界シェア43%と圧倒的に利用者が多いため、攻撃者にとって効率の良いターゲットになっているのです。適切な更新とセキュリティ対策を行えば、安全に運用できます。
Q2. 無料プラグインだけでセキュリティ対策は十分ですか?
基本的な対策は無料プラグイン(Wordfence無料版+UpdraftPlus)で可能です。加えてAIテスト番人でSSL・表示速度・リンク切れの定期監視を設定すれば、中小企業として必要十分なセキュリティ体制が整います。
Q3. 脆弱性診断はどれくらいの頻度でやるべきですか?
最低でも月1回はWPScanまたはJetpack Protectで診断しましょう。AIテスト番人のLINE通知を設定しておけば、SSL期限切れやサイトダウンは自動で検知されます。WordPress本体・プラグインのセキュリティアップデートは出たら即座に適用するのが理想です。
Q4. サイトがハッキングされた場合、どうすればいいですか?
①サイトを一時停止(メンテナンスモード)、②バックアップから復元、③全パスワード変更、④全プラグイン・テーマ・WP本体を最新に更新、⑤Wordfenceでマルウェアスキャン、⑥Google Search Consoleで「セキュリティの問題」を確認・解消のステップで対応します。
Q5. AIテスト番人でWordPressの脆弱性もチェックできますか?
AIテスト番人はSSL証明書・Core Web Vitals・リンク切れ・SEO基本要素の総合診断に特化しています。WordPress固有のプラグイン脆弱性チェックにはWPScanやJetpack Protectを併用し、サイト全体の健全性はAIテスト番人で定期監視するのが最も効果的な組み合わせです。
まとめ — WordPressは対策次第で安全に運用できる
- WordPressの最大のリスクは「放置」— 古いプラグインが攻撃の入口になります
- WPScan(脆弱性チェック)+ AIテスト番人(SSL・表示速度・リンク切れ監視)の併用が中小企業に最適です
- まずは12項目チェックリストで現状を確認し、未対策の項目から順に対応しましょう
- Core Web Vitalsとの関係についてはCore Web Vitals完全解説もあわせてご参照ください