自社サイトはWordPress製なのに、セキュリティは制作会社任せで中身を知らない。そんな中小企業は少なくありません。放置されたWordPressは、自動化された攻撃の格好の標的になります。
この記事では、危険な状態の見分け方と基本対策8つ、改ざん時の復旧手順、保守外注の費用相場を解説します。最優先で固めるべきは「更新・ログイン強化・バックアップ」の3点です。
WordPressが狙われやすい理由と被害の実例
WordPressが狙われる最大の理由は、利用者が圧倒的に多いことです。攻撃の大半は自動化されており、会社の規模や知名度は関係ありません。
WordPressは2026年時点で、世界のWebサイトの約4割で使われています。利用者が多い分、脆弱性の情報や攻撃ツールも大量に出回っています。攻撃者はプログラムで無差別にサイトを巡回し、設定の甘い侵入口を探します。「うちは小さな会社だから狙われない」という前提は成り立ちません。
中小企業のサイトで実際に多い被害は、次の4パターンです。
- 改ざん:トップページの書き換えや、身に覚えのないスパムページの大量生成
- 不正リダイレクト:訪問者が偽ショップや詐欺サイトへ自動転送される
- 乗っ取り:管理画面へ侵入され、管理者権限を奪われる
- 踏み台化:迷惑メールの送信元や、他サイトへの攻撃に悪用される
被害はサイト内にとどまりません。Googleに危険なサイトと判定されると、検索結果やブラウザに警告が表示されます。検索順位の下落、問い合わせの停止、取引先からの信用低下へと波及します。
今すぐ確認すべき危険な状態(更新放置・admin・古いプラグイン)
次の4つは、攻撃者から見て「入りやすいサイト」の典型です。1つでも当てはまるなら、今週中に着手することをおすすめします。
| 危険な状態 | なぜ危険か | 確認方法 |
|---|---|---|
| 本体・プラグインの更新を半年以上放置 | 公開済みの脆弱性をそのまま突かれる | 管理画面の更新通知の数 |
| ログインIDが「admin」のまま | IDが割れており総当たり攻撃が容易 | ユーザー一覧 |
| 使っていない古いプラグインが残っている | 停止中でも侵入口になる | プラグイン一覧の最終更新日 |
| 保守契約がなく管理者も不明 | 異変に誰も気づけない | 契約書・社内の担当有無 |
経験上、最も危険なのは「作った会社と縁が切れて3年放置」というパターンです。サイトは表示され続けるため、不具合がなければ誰も管理画面を開きません。顧客や取引先からの指摘で、初めて改ざんに気づくケースも目立ちます。保守契約のないサイトは、まずログインして現状把握から始めてください。
基本対策8つ(更新・ログイン強化・バックアップ・WAF)
対策は優先度の高い順に8つあります。最初の3つを済ませるだけでも、被害に遭う確率は大きく下がります。
- 本体・プラグイン・テーマを最新に保つ 管理画面の「更新」からすべて適用します。作業前のバックアップとセットが基本です。マイナー更新は自動更新を有効にしておくと手間が減ります。
- ログインIDを「admin」から変える 新しい管理者ユーザーを作り、旧adminは削除します。表示名(ニックネーム)も変更し、投稿ページからIDが漏れないようにします。
- パスワードを強化する 12文字以上で英数字と記号を組み合わせるのが目安です。他のサービスとの使い回しはやめてください。
- 二要素認証を導入する ログイン時にスマホアプリの確認コードを追加で要求します。無料プラグインで導入でき、乗っ取り対策として効果が高い方法です。
- ログインページを保護する ログインURLの変更や画像認証で、総当たり攻撃を弾きます。国内では無料の「SiteGuard WP Plugin」が定番です。
- バックアップを自動化する 週1回以上、サーバーの外(クラウドストレージ等)にも保存します。取るだけでなく、一度は復元手順を試しておいてください。
- WAFを有効にする WAFは攻撃的な通信を入り口で遮断する仕組みです。多くのレンタルサーバーでは、管理画面から無料で有効化できます。
- 不要なプラグイン・テーマ・ユーザーを消す 停止中のプラグインも侵入口になります。「停止」ではなく「削除」まで行うのがポイントです。
プラグインの選び方と入れすぎ問題
プラグインは「必要最小限に絞る」こと自体が有効なセキュリティ対策です。合計15個以内を一つの目安にしてください。
WordPress関連で見つかる脆弱性の多くは、本体ではなくプラグインやテーマ由来です。数が増えるほど、危険な穴を抱える確率が上がります。相性問題による不具合や、表示速度の低下も起きやすくなります。
新しく入れる際は、次の4点で選別します。
- 最終更新が1年以内である
- 有効インストール数が多い(数万件以上が目安)
- 利用中のWordPressバージョンで動作確認済みである
- 公式ディレクトリか、実績のある開発元の製品である
半年に一度はプラグインの棚卸しを行い、使っていないものを削除します。「便利そうだから入れた」ものほど、使われずに残りがちです。
改ざんされたときの初動と復旧手順
改ざんに気づいたら、最初にサイトの公開を一時停止します。復旧は「侵入口をふさいでから戻す」が鉄則です。
- サイトを一時停止する サーバーパネルのメンテナンス表示や503設定で公開を止めます。公開を続けると、訪問者への二次被害が広がります。
- パスワードをすべて変える WordPress管理者、FTP、サーバーパネル、データベースの4種類です。
- 被害範囲を確認する 身に覚えのない管理者ユーザーや、更新日時が不自然なファイルを探します。サーバー会社からの警告メールも確認します。
- クリーンなバックアップから復元する 改ざん前の時点へ戻します。戻すだけでは同じ穴から再侵入されるため、次の手順まで一気に行います。
- 本体・プラグインを全更新し、不要物を削除する 古いプラグインの削除、パスワード変更、WAF有効化までがワンセットです。
- Googleへ再審査を申請する 警告が出た場合は、Search Consoleから「問題を修正済み」として審査をリクエストします。
自力での完全な駆除は難易度が高く、専門業者への依頼が現実的です。復旧費用は被害状況により10万〜50万円程度、期間は数日〜3週間が目安です(2026年時点)。バックアップがない、放置期間が長いといった場合は費用が膨らみます。数年放置したサイトでは、復旧より作り直しのほうが安く済むこともあります。
保守を外注する場合の費用と依頼範囲
WordPress保守の外注は、月額5,000円〜3万円程度が中心価格帯です。金額の比較より、「何をどこまでやるか」の確認が重要です。
| プラン帯 | 月額の目安 | 主な内容 |
|---|---|---|
| 最低限 | 5,000円〜1万円 | 本体・プラグイン更新、バックアップ |
| 標準 | 1万円〜3万円 | 左記+死活監視、軽微な修正、月次報告 |
| 手厚め | 3万円〜10万円 | 左記+テキスト・画像の更新代行、改善提案 |
契約前に、次の4点を確認してください。
- 更新作業の範囲(本体のみか、プラグイン・テーマまで含むか)
- 改ざん・障害時の復旧対応が月額に含まれるか、別料金か
- バックアップの頻度・保存先・保管世代数
- 解約時にサーバーやWordPressのログイン情報一式を引き渡してもらえるか
特に最後の項目は重要です。引き渡しが保証されていれば、契約が終わっても自社で管理を続けられます。冒頭で触れた「縁が切れて放置」という最悪のパターンを避けられます。
自社運用のための月次チェックリスト
外注しない場合でも、月1回30分の点検で主要なリスクは抑えられます。実施日と担当者を決めて、習慣にしてください。
- 本体・プラグイン・テーマを更新する(作業前にバックアップ)
- バックアップが実際に保存されているか、保存先を開いて確かめる
- ユーザー一覧に見覚えのないアカウントがないか確認する
- お問い合わせフォームからテスト送信し、受信まで確かめる
- 主要ページを実際に開き、表示崩れや不審な転送がないか見る
- セキュリティプラグインでログイン試行やブロック数を確認する
加えて四半期に一度、バックアップからの復元テストを行うと安心です。SSL証明書とドメインは、有効期限と自動更新の設定を確認しておきます。期限切れはサイト停止に直結するためです。
よくある質問
無料のセキュリティプラグインだけで十分ですか?
基本対策8つと組み合わせれば、中小企業のサイトでは実用的な水準になります。ただしプラグインは、更新やバックアップの代わりにはなりません。土台の対策を済ませたうえで、補助として使ってください。
レンタルサーバーのWAFは有効にすべきですか?
有効にすべきです。追加費用なしで、自動化された攻撃の多くを入り口で遮断できます。まれにフォーム送信や保存操作がブロックされますが、該当ルールのみ除外して回避できます。
更新でサイトが崩れないか不安です。どうすればいいですか?
「バックアップを取ってから更新する」を徹底すれば、崩れても元に戻せます。不安が大きい場合は、ステージング環境(テスト用の複製)で事前に確認します。主要なレンタルサーバーの多くが、ステージング機能を提供しています。
何年も放置したサイトは、まず何をすべきですか?
いきなり更新ボタンを押すのは危険です。まずフルバックアップを取り、PHPバージョンやプラグインの互換性を確認しながら段階的に更新します。バージョン差が大きい場合は、リニューアルも含めて比較したほうが安全で安いこともあります。
まとめ
- WordPressは世界シェアが大きく、自動化された攻撃に常にさらされている
- 「更新放置・adminのまま・保守契約なし」は攻撃者から見て入りやすいサイト
- 最優先は更新・ログイン強化・バックアップの3点。次にWAFと二要素認証
- 改ざん時は公開停止→侵入口をふさぐ→復元の順。外注復旧は10万〜50万円が目安
- 月1回30分の点検を習慣化すれば、自社運用でもリスクを大きく減らせる
次の一歩は、管理画面にログインして更新通知の数とユーザー一覧を確認することです。現状を知ることが、あらゆる対策の出発点になります。
保守やセキュリティに配慮したリニューアルでお困りの場合は、EMPLAYのホームページ制作サービスで支援しています。「どこから手をつけるべきか」という段階のご相談でも構いません。無料相談はお問い合わせからどうぞ。
関連記事
- WordPress導入・運用ガイド|初心者でもわかるサイト構築と管理方法 - WordPress運用の基礎をおさらいしたい方に
- ホームページ保守費用の相場|管理内容の内訳と外注先の選び方 - 保守外注の費用と内訳をより詳しく
- 中小企業のサイバー攻撃対策|今すぐできるセキュリティ強化ガイド - サイト以外も含めた全社的な対策に
- 中小企業の情報セキュリティ対策入門|最低限やるべき対策と実践ガイド - 情報セキュリティの基本を整理したい方に
- シャドーAIとは?放置リスクと社内で統制する現実的なルール
- 多要素認証(MFA)とは?設定方法と社内導入の進め方を解説