NoCodeWeb.jp
WordPressを使ったコード書かないウェブ制作情報サイト
Elementor Meetup Tokyo 2025
TOFUラボ!日本最大のElementorコミュニティ!10日間無料
WordPressの使い方
  1. ドメイン取得とサーバーの契約
  2. ログインする方法
  3. 一般設定
  4. パーマリンク設定
  5. プラグインをインストールする方法
  6. テーマ選びとインストール方法
  7. 投稿の作り方
  8. カテゴリーとタグを編集する方法
  9. 固定ページの作り方
  10. メニューの作り方と編集する方法
  11. テーマをカスタマイズする方法
  12. ウィジェットの設定方法
  13. ホームページを変換する方法

WordPressがハッキングされる一番の原因

ログインURLを変えてもハッキングは防げない

ちょっとびっくりしましたか?
多くのWordPressのセキュリティに関する情報で、ログインURLを変えることを勧めています。
ですが変えたからといって、8割以上のハッキングの手口は防げません。
この記事ではWordPressがハッキングされる一番の原因を説明し、そのシンプルな解決方法を説明します。

WordPressはハッカーの標的になりやすい

WordPressがハッキングされる一番の原因はプラグイン・テーマ・WordPressコアで発生する脆弱性

WordPressがハッキングされる原因の8割はプラグイン・テーマ・WordPressコアの持つ脆弱性

脆弱性とは、プログラムの不具合や設計ミスで、 不正アクセスやマルウェア(※)の侵入を許可する状態になってしまっていることです。これはセキュリティーホールとも呼ばれています。

脆弱性は、複数のものが組み合わさって発生することもあります。たとえば、WordPressコアがアップデートした際、プラグインが更新されていない場合などです。

※マルウェア(malware):パソコンやスマートフォンなどに被害を与える悪意のあるソフトウェアのこと。コンピューターウイルス・ワーム・ランサムウェアなどがこれにあたる。

脆弱性を放置するリスク

プラグイン・テーマ・WordPressコアを更新せずに放置している場合に考えられるリスクは以下のとおりです。

  • サイトの乗っ取り:管理権限を奪われ、サイトが攻撃者に支配される可能性があります。
  • データ漏洩:顧客情報やサイトデータが盗まれる危険があります。
  • SEOスパム攻撃:悪意のあるリンクを埋め込まれ、検索エンジンの評価が下がる可能性があります。
  • マルウェア感染:不正なコードが挿入され、訪問者がウイルスに感染する可能性があります。
プラグイン・テーマ・WordPressコアを更新せずに放置している場合、サイトの乗っ取りやデータ漏洩などの被害のリスクがある

なぜWordPressでは脆弱性が発生してしまうのか?

ここでは、脆弱性が発生してしまう理由を解説します。

1. サードパーティ製プラグイン・テーマの多さ

WordPressでは公式・非公式を含めると膨大な数のプラグインやテーマが提供されています。数が多いがゆえに、開発者によってセキュリティ意識の差があり、脆弱性を持ったまま公開されることもあるのです。

WordPressでは公式・非公式を含めると膨大な数のプラグインやテーマが提供されている

2. 更新されないプラグイン・テーマの存在

開発が終了したプラグインやテーマは、セキュリティアップデートが行われず、結果として脆弱性を持ってしまいます。これを放置すると、ハッカーに簡単に狙われてしまうのです。

開発が終了したプラグインやテーマは、セキュリティアップデートが行われない

WordPressの脆弱性の発生を防ぐための対策

WordPressの脆弱性の発生を防ぐには、プラグイン・テーマ・WordPressコアを最新の状態で使用するしかありません。逆に言えば、最新の状態にしておけば、マルウェアの侵入はできなくなります。

プラグインやテーマは常に最新バージョンを使用し、開発が停止したものは削除しましょう。

プラグインやテーマは常に最新バージョンを使用する

最新の脆弱性リストが届く、ナオミの無料メルマガ

「ナオミのメルマガ」に登録していただくと、「プラグインとテーマの最新の脆弱性リスト」のほか、「WordPress・ウェブ制作の役立つ情報」や「Elementorなどのノーコードツールの最新情報」「ナオミの海外生活の話や不思議な話」などの情報が毎週火曜日に届きます。登録はメールアドレスのみでOK、いつでもキャンセル可能です。興味のある方は是非登録してみてください!

>>>ナオミのメルマガに登録してみる

安全なプラグインの選び方

ここからは、安全なプラグインの選び方を4つ紹介します。

1. 信頼できるソースからインストールする

WordPressプラグインディレクトリからインストールしたり、評判の良い開発者が提供するプラグイン・テーマを使用しましょう。

WordPressプラグインディレクトリへは、①「プラグインの追加」→②「WordPressプラグインディレクトリ」をクリックすれば表示されます。

WordPressプラグインディレクトリへは、①「プラグインの追加」、②「WordPressプラグインディレクトリ」をクリック
WordPressプラグインディレクトリの画面

開発者の評判は、星の数とダウンロード数で判断しましょう。

開発者の評判は、星の数とダウンロード数で判断する

2. アップデートされないプラグインは使わない

プラグインの最終更新日をチェックしましょう。安全なプラグインは定期的に更新されています。最終更新日が2週間〜2か月前ぐらいのものは安心ですが、6か月前ぐらいからは注意が必要です。

安全なプラグインは定期的に更新されている

最終更新日が2年前ぐらいになると、ダウンロード数が多くて人気のプラグインだとしても使わないのが無難です。

最終更新日が2年前ぐらいのものは使わないのが無難

3.個人開発のものに注意する

開発者が個人の場合、何らかの事情で突然アップデートされなくなるリスクが大きくなります。アップデートされないと、マルウエアが侵入しやすい環境を作り出してしまいます。

個人開発のプラグイン全てがリスクになるわけではありませんが、アップデートが止まってしまわないか、注意深くみておく必要があるでしょう。できれば会社単位で開発しているものがおすすめです。

個人開発かどうかを確認するには、「作者」をクリックしてください。

個人開発かどうかを確認するには、「作者」をクリックしてチェックする

クリックすると、作者のプロフィールが確認できます。このプロフィールの例では、作者が既に他界しており、開発が止まってしまっていることが確認できます。

作者のプロフィールが確認できる

4. セキュリティプラグインを活用する

「Wordfence」などのセキュリティプラグインを導入しておくと、不正な動作を監視できます。

「Wordfence」などのセキュリティプラグインを導入しておくと、不正な動作を監視できる

まとめ

WordPressのハッキング被害の多くは、プラグイン・テーマ・WordPressコアの脆弱性が原因で発生しています。しかし、適切な管理を行えば、多くの攻撃を未然に防ぐことができます。この記事で紹介した対策を実践し、安全なサイト運営を心がけましょう。

関連記事

  1. WordPressにログインする方法
  2. WordPress『一般設定』の説明
  3. WordPress 投稿の『カテゴリーとタグ』を編集する方法
  4. WordPress『固定ページ』の作り方
Naomi Suzuki

このサイトを運営してるナオミです。エンジニア歴13年、海外在住歴20年。
WordPressの情報やハッキングを防ぐ脆弱性の情報と自分の海外での生活の一部を無料のメルマガで配信しています。

メルマガの詳細をチェック!
目次

コメントする

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

無料テンプレートダウンロード

© 2019-2022 nocodeweb.jp. All rights reserved.

Elementorの無料テンプレートサイト
新規追加されました。

無料のElementorだけで作ったヨガのコミュニティのLPのテンプレート
デモサイトをチェック
X

WordPressの最新情報が
毎週届く無料メールマガジン

DiviやElementorの情報だけでなく、脆弱性が見つかったプラグインやテーマのリストも毎週届きます。セキュリティの強化につながります。 

管理人のナオミが書くメルマガ
海外でエンジニア歴10年以上
DiviとElementorに精通