ノーモアWordPress 相談してみる →
WARNING / 2026 年 最新セキュリティ動向

あなたの
WordPress、
世界で一番、狙われています。

しかも、共有レンタルサーバーで動かしているなら隣の家が燃えると、あなたの家も燃える」仕組みになっています。 ──このページは、その理由と、もう一段安全で速い選択肢を、専門用語をできるだけ使わずに説明します。

WordPress 管理画面に向けて、マルウェア・スパムメール・フィッシングページ・ボットネットなどの攻撃が一斉に伸びていく様子を描いたイラスト
イメージ: 1 つの WordPress サイトに対して、世界中から自動化された攻撃が同時並行で走っているのが現状です。
ハッキングされた CMS サイトのうち WordPress の割合
96.2%

出典: Sucuri 2024 Website Threat Report

2024 年だけで発見された WordPress の脆弱性件数
7,966

出典: Patchstack 2025 White Paper

WordPress 脆弱性のうちプラグイン由来の割合
96%

出典: Patchstack 2025 White Paper

なぜ危ないのか、続きを読む 結論から先に見る(Jamstack って何?)
ハッキングされた CMS の 96.2% は WordPress 2024 年に発見された WP 脆弱性は 7,966 件 WP 脆弱性の 96% はプラグイン由来 公式プラグインの 59% が 2 年以上更新停止 共有レンタルでは『隣人経由の感染』が現役の脅威 ロリポップ 2013 年 — 共有サーバーで 8,438 サイトが改ざん 2025 年 — 中国系ハッカーが Claude Code をジェイルブレイク、世界 30 組織へ AI が自律侵入 Claude Mythos — 危険すぎて Anthropic が一般公開を見送った AI ハッキングされた CMS の 96.2% は WordPress 2024 年に発見された WP 脆弱性は 7,966 件 WP 脆弱性の 96% はプラグイン由来 公式プラグインの 59% が 2 年以上更新停止 共有レンタルでは『隣人経由の感染』が現役の脅威 ロリポップ 2013 年 — 共有サーバーで 8,438 サイトが改ざん 2025 年 — 中国系ハッカーが Claude Code をジェイルブレイク、世界 30 組織へ AI が自律侵入 Claude Mythos — 危険すぎて Anthropic が一般公開を見送った AI

01 / 現状認識

WordPress は 「世界一、攻撃者にとってコスパが良い」標的です。

WordPress は世界中の Web サイトの42.2%を占めます。 これは「人類が作った Web の半分弱で、同じ鍵が使われている」ようなもの。

一度一つの脆弱性が見つかれば、攻撃ツールは一瞬で数千万サイトに試されます。 個人サイトであっても狙われないのではなく、機械的に毎分スキャンされ続けているのが現実です。

攻撃の集中率

96.2%

Sucuri が 2024 年に駆除した、ハッキング済み CMS サイトのうち WordPress が占めた割合。 市場シェア(約 60%)を大きく超えて集中砲火を浴びていることが分かります。

市場シェア

42.2%

W3Techs 2026

攻撃シェア

96.2%

Sucuri 2024

※ シェアの 1.6 倍以上の比率で集中攻撃を受けている、ということ。

02 / プラグインという地雷原

WordPress 本体は意外と頑丈。
穴になっているのは「あとから入れたプラグイン」です。

典型的な WP サイトの構造

WordPress コア 比較的安全
Contact Form 7 更新あり
Elementor 更新あり
Yoast SEO 更新あり
WooCommerce 更新あり
Slider Revolution 2 年以上未更新
WP File Manager 脆弱性放置
○○ Custom Plugin (社内謹製) 管理者不明
... + 平均 25 個

※ 1 つでも放置プラグインが含まれていれば、サイト全体が陥落します。

96%

の脆弱性は「プラグインかテーマ」由来

2024 年に発見された 7,966 件の脆弱性のうち、コア本体起因はわずか 7 件。残りは全部プラグインとテーマです。
出典: Patchstack 2025 White Paper

59%

のプラグインは「2 年以上更新停止」

公式ディレクトリ上のプラグインの過半数が、もう作者に放棄されています。それを知らずに入れているサイトは少なくありません。

33%

の脆弱性はそもそも修正版が出ない

「アップデートを当てれば直る」が前提ですが、3 件に 1 件は永久に直らないまま。
出典: Patchstack / Wordfence 2024

03 / 共有レンタル特有のリスク

隣の家が燃えると、
あなたの家も燃える。

共有レンタルサーバーは、1 台のサーバーに何百人ものユーザーが同居しています。 その中で誰か一人が放置 WP を抱えていれば、攻撃者はそこを足場にして同じサーバーの他人のサイトにも飛び火します。

ご近所感染(cross-site contamination)

同居サイトのファイル権限が甘いと、wp-config.php がシンボリックリンクで読み出され、 DB 接続情報ごと盗まれます。Sucuri も Wordfence も「現役で観測されている攻撃」と公言しています。

IP 共倒れブラックリスト

同居サーバーにスパム送信サイトが 1 つあれば、共有 IP がブラックリスト入りし、 あなたのメールが届かなくなる・SEO 評価が落ちるなどの巻き添えが発生します。

隣人 DDoS で連鎖ダウン

さくらインターネット公式も 「不正アクセス起因の高負荷で他ユーザーに影響が出ることがある」と明記。 つまりあなたの管理が完璧でも、隣人のせいで止まる仕組みです。

ご近所感染の流れ

  1. STEP 1

    誰かのサイトが侵入される

    同居している他人の放置プラグイン経由で、攻撃者がサーバー内に入り込む。

  2. STEP 2

    同じサーバー内を横移動

    サーバー内のファイルやプロセスが見えるため、隣人ディレクトリを次々と読みに行く。

  3. STEP 3

    あなたの DB 情報が抜かれる

    wp-config.php がパーミッション 644 のままだと、平文でユーザー名・パスワードが漏れる。

  4. STEP 4

    あなたのサイトも改ざん

    盗んだ DB / FTP 情報で正規アクセスとして書き換え。WAF も検知しづらい。

04 / 実際に起きている事件

ロリポップ事件は 2013 年。 でもハッキングは止まっていない

2013 年 8 月 / 国内最大級の WordPress インシデント

共有レンタルサーバー「ロリポップ!」上で、 WordPress を運用する 8,438 アカウントのサイトが 数日のうちに連鎖的に改ざんされました。

原因は、プラグイン脆弱性共有サーバーのパーミッション設計の かけ算でした。1 つのアカウントから踏み台にされ、サーバー内の他のサイトへ次々と感染が広がる、 まさに「ご近所感染」の教科書のようなケースです。

ロリポップ側は緊急で全アカウントの権限変更などの対応に追われ、 被害サイトは数日〜数週間にわたって表示停止・修復作業を強いられました。

出典: ロリポップ!運営告知 Security NEXT 042750 徳丸浩の日記

被害サイト数

8,438

同一の共有サーバー基盤上で同時被害

この事故の本質

あなたが完璧でも、隣人のせいで沈む

他人事ではない

2026 年現在も同じ構造のサーバーが現役

そして、ここ 5 年で起きた主なインシデント。

「マネージド WP だから安心」「定番のプラグインだから安心」── その前提は、毎年のように崩されています。 ロリポップが古いだけではなく、同じ構造が今も繰り返し被害を生んでいるということです。

2021.11 海外 / マネージド WP

120万人

の顧客情報が流出

GoDaddy Managed WordPress 大規模情報漏洩

マネージド WP の管理基盤に侵入され、sFTP パスワードが平文相当で保管されていたためサイト乗っ取りに直結。 「自社で一切設定をしていないのに改ざんされた」事例として象徴的。

出典: GoDaddy SEC 8-K / Wordfence

2024.02 海外 / WP テーマ

公表翌日

に実攻撃を観測

Bricks Builder テーマ 0day RCE

認証不要のリモートコード実行 (CVE-2024-25600)。 Wordfence や Sucuri を無効化するマルウェアが配布され、対応猶予がほぼ無かった。

出典: Patchstack

2024.08 海外 / WP プラグイン

600万サイト

が影響対象

LiteSpeed Cache 連続脆弱性

共有レンタルでも超定番の高速化プラグインで、 権限昇格 / Cookie 漏洩 / 未認証 XSS が立て続けに発覚。 「定番 = 攻撃者にも定番」を地で行く事例。

出典: Patchstack

2024.06 国内事例

日本複数組織

に Web シェル設置

PHP-CGI 引数インジェクション悪用

CVE-2024-4577。公開翌日から日本を狙った攻撃を観測。 共有・マネージド環境を横断して、ランサムウェア (TellYouThePass) 展開まで確認された。

出典: IPA / Akamai / Trend Micro

※ いずれも公式声明・セキュリティベンダーの一次レポートに基づく。これらは「氷山の一角」であり、 国内 IPA への WordPress 改ざん通報は今でも毎月発生しています。

2026 / これから本当に怖いのはここ

05 / AI が自分で侵入してくる時代

ここまでは「人間がやっていた攻撃」の話。
これからは AI が、勝手に穴を見つけて、勝手に侵入してきます。

「AI が攻撃に使われたらヤバいよね」という未来予想は、2025 年に終わりました。 すでに、国家が雇った攻撃者が高性能 AI を運用し、人間がほぼ介在しない自動侵入を実行した事例が公式に発表されています。 そして 2026 年には、その AI 自身がさらに桁違いに強くなりました。

2025 年 11 月 / Anthropic 公式発表

世界初、AI が「ほぼ全自動」で
30 組織を侵入しに行ったのが確認された。

中国の国家関与が疑われる攻撃者グループ GTG-1002 が、 Anthropic 自身の Claude Code を乗っ取って、 テック企業・金融機関・化学メーカー・政府機関など世界 30 組織への侵入を試みました。

偵察 → 脆弱性発見 → エクスプロイト作成 → 認証情報窃取 → データ持ち出し → ドキュメント作成まで、 攻撃工程の 80〜90% を AI が自律実行。 人間が判断したのは、1 キャンペーンあたり わずか 4〜6 箇所だけ。

攻撃者は「自分はセキュリティ会社の従業員で、これは防御テストです」と AI を騙し、 さらに攻撃を 細かい無害そうなタスクに分解することで、AI のガードを通り抜けていました。

出典: Anthropic 公式 (2025-11-14) Axios SecurityAffairs

AI が自律実行した割合

80〜90%

人間の介入は 1 攻撃あたり 4〜6 箇所のみ

同時に狙われた組織

30

テック / 金融 / 化学 / 政府機関

2026 年 4 月 / Anthropic 自身が「危険すぎる」と判断

Claude Mythos ── 強すぎて、一般公開が見送られた AI。

2026 年 4 月 7 日、Anthropic は新モデル Claude Mythos Preview を発表しましたが、 ──通常の一般公開を行いませんでした。 理由は 「攻撃に転用された場合のリスクが大きすぎる」。AI 企業自身が、自社のフラッグシップモデルの公開を見送ったのは、極めて異例です。

Mythos は、人間の指示で 主要 OS とブラウザのほぼ全てに対してゼロデイ脆弱性を発見・悪用できることが確認されました。 ある検証では、4 つの脆弱性をチェーンしてブラウザのレンダラーと OS サンドボックスの両方を突破。 Firefox エンジン単体のベンチマークでは、181 個の動作するエクスプロイトを独力で書き上げています。

そして決定的なのが、コスト。脆弱性 1 件あたりの探索コストは $50 未満攻撃が「安く・速く・無限に」回るようになった、ということです。

出典: Anthropic / red.anthropic.com UK AISI Foreign Policy Live Science

補足 / もうすでに漏れている

「公開していないから安全」とも言えません。Mythos Preview は 未承認の第三者にアクセスされたことがすでに報じられています (Tech-Critter / Futurism)。同等以上の能力を持つモデルが、攻撃者の手元で動いている前提で考える必要があります。

独力で書いたエクスプロイト

181

Firefox エンジン単体のベンチマークで

脆弱性発見コスト

< $50

1 回の脆弱性スキャンの実行コスト

対象範囲

主要 OS / ブラウザほぼ全て

macOS, Windows, Linux, Chrome, Firefox, Safari ほか

2025 年 10 月 / すでに WordPress でも起きている

「AI 機能つき WordPress プラグイン」自体が、 最大の侵入経路になっています。

人気の AI Engine プラグイン(10 万サイト以上で稼働)に、 認証なしでベアラートークンを抜かれ、そのまま管理者権限まで昇格できる致命的な欠陥が見つかりました (CVE-2025-11749 / CVSS 9.8)。

さらに調査では、WordPress 用の AI プラグイン全体のうち 43% でリモートコマンド実行が可能、 33% は認証なしでサイトへ無制限アクセス、22% は機密ファイルが露出していました。 WordPress 6.9 で導入された Abilities API によって、 「全てのプラグインが AI のエンドポイント」になっていく流れも、攻撃面をさらに広げます。

つまり、これからの WP は「人間が書いた古いプラグイン」だけでなく、「AI 連携で新しく追加された口」も狙われる二重構造です。

出典: Patchstack / WPScan / eSecurity Planet (2025-10)

AI Engine プラグイン

100,000+ サイト

CVE-2025-11749 / CVSS 9.8 (Critical)

43%


RCE 可能

33%

で無制限
アクセス可

22%

で機密
ファイル露出

1 サイトあたり 1 日の攻撃試行

172 回/ 日

2026 年現在の WordPress サイトの平均

非対称化する攻防

ベンダーがパッチを書く速さ よりも、
AI が次の穴を見つける速さ の方が速くなりました。

攻撃側のコスト

$50 / 件 以下

脆弱性 1 件を発見するための AI 実行コスト。攻撃が「経済的に成立」してしまう水準。

パッチ提供までの時間

数日 〜 週単位

プラグイン作者が放棄していれば「永久に出ない」(WP 脆弱性の 33% は永遠に未修正)。

防御側に残る選択肢

穴を作らない

「直す」競争では、もう勝てない。そもそも動的に動く部分を持たないのが現実解です。

※ Anthropic は Mythos クラスのモデルを Project Glasswing という枠組みで、Apple / Microsoft / Google などの限られた企業にだけ「防御目的」で提供しています。 つまり、大手ベンダーすらパッチを間に合わせるためには AI に頼らないと無理になっている、ということです。

2024-2026 / そもそも直してくれる人がいない

06 / 修理する側の崩壊

攻撃が AI で加速しているこの瞬間、
WordPress を直す側の人たちが、ごっそり消えています。

2024 年 9 月、創業者 Matt Mullenweg 氏が大手ホスティング WP Engine を「WordPress にとってのがん(cancer)」と公の場で呼んだことから始まった騒動は、 単なる「コミュニティ内のいざこざ」では収まりませんでした。 WordPress 本体を維持していた人員と仕組みそのものが、その後 1 年半で連鎖的に崩れています。

2025 年 1 月 / Automattic 公式発表

WordPress コアへの開発時間を、 自社で 99% カット

WordPress を生んだ Automattic は、自社が「Five for the Future」プログラムで提供していたコア開発時間を 週 約 3,900 時間 → 45 時間へ突如削減すると発表しました。 Automattic はこのプログラム最大の貢献者で、全貢献時間の約半分を担い、 21 の Make WordPress チームに 109 名を送り込んでいた組織です。

その全員が、一夜にして WordPress.com / Jetpack などの自社営利製品の開発に転用されました。 表向きの理由は「WP Engine の貢献時間に合わせる」。実態はリソースを訴訟と本業に集中させるための再配分です。

出典: Automattic 公式 (2025-01-09) TechCrunch LWN.net

削減後の貢献時間

3,900h 45h

週あたり / 約 99% 減

転用された開発者

109 名

21 の Make WordPress チームから自社製品開発へ

2024 年 10 月

アライメント・オファー

「方針に同意できないなら辞めてくれ」

159 名が退職(全社の 8.4%)

Mullenweg 氏は「$30,000 または 6 ヶ月分の給与を払うので、 方針に同意できない人は辞めてほしい」と社内提示。10 月 3 日の期限までに 159 名が応じました。

うち 79.2% が WordPress エコシステム部門。 退職者には初代 WordPress プロジェクト・エグゼクティブディレクターの Josepha Haden Chomphosy 氏も含まれます。

出典: TechCrunch / WP Tavern (2024-10)

2025 年 1 月

批判者のアカウント強制停止

「フォークするなら出ていけ」

5 名のコントリビューターを WordPress.org から追放

ガバナンスを議論していたメンバー Joost de Valk(Yoast SEO 創業者)、 Karim MarucchiSé ReedHeather BurnsMorten Rand-Hendriksen5 名のアカウントが一方的に停止されました。

当人たちは「フォーク計画はない、連合的なミラーを提案しただけ」と否定。 REST API の作者 Ryan McCue 氏も同時期にアクセスを遮断されています。

出典: TechCrunch / The Register (2025-01)

2025 年 4 月

予告なき一斉レイオフ

90 か国で同時に通知メール

≈ 280 名(残った社員の 16%)

アライメント・オファーから半年。Automattic は追加で 全社員の 16%を予告なくレイオフしました。 対象者はメール 1 通で Slack のアクセスを失い、 10 年以上勤続のベテランも含まれていたと報じられています。

社員数は 1,774 → 1,495 に減少。 この間、Mullenweg 氏自身が 「訴訟費用は WP Engine 側・Automattic 側それぞれ年 $15M」 と Slack で認めています。

出典: TechCrunch / Automattic 公式 (2025-04-02)

2026 年 4 月 / WordCamp Asia 直後

残った人たちも、もう発言しなくなりました。

2026 年 4 月、Mullenweg 氏は WordCamp Asia からの帰路の機内で、 コアコミッターが集まる #core-committers Slack チャンネルに数時間にわたって投稿。 リリース文化が「つまらなく凡庸なもの(boring or mediocre crap)を量産している」とプロジェクト全体を批判しました。

「この 2 年間の Slack での出来事を踏まえると、地雷原を歩いてさらに地雷を増やしたいと思う人間はいないと思う」
— あるコントリビューターの返答(The Repository, 2026-04)

Ryan McCue 氏の言葉が、いまの空気を端的に表しています ── 「Automattic は他企業に貢献を増やせと要求しながら、実際に貢献しようとする人間を恣意的にブロックしている。これで誰がコミットしようと思うのか」。

最悪の非対称性

攻撃側は AI で $50 / 件で穴を見つけ、 脆弱性報告は 42% 増のペースで加速。

防御側は、コア開発時間 99% 減、 経験者が 439 名規模で離脱、 残った人も 発言を止めた

※ 2024-10 退職 159 名 + 2025-04 レイオフ 約 280 名の合算。

07 / 運用負担の現実

「触っていないだけ」で、サイトは確実に劣化していきます。

アップデート漏れ

39%

ハッキングされた CMS サイトの 39% は「ただ更新を放置していただけ」が原因。
出典: Sucuri 2024

復旧費用の相場

$200〜$3,000

1 回の改ざんを駆除するのに数万〜数十万円。さらに営業損失と、検索順位の急落リスク。

運用工数

毎週

コア・テーマ・プラグインを更新し、互換性を確認し、バックアップを取り、たまに白画面になり…… これがコンテンツ作りの邪魔をしています。

解決編 / 発想を変える

じゃあ、
「最初から狙う場所がない」サイトを作ればいい。

WordPress が攻撃に弱いのは、「お客さんが来るたびに、サーバーで PHP を動かして、データベースに問い合わせて、HTML を作る」からです。
動いている部品が多いほど、壊せる部品も多い。
──だったら、その仕組みを最初から無くしてしまうのが Jamstackという考え方です。

08 / Jamstack とは

ざっくり言うと、
作りおきのサイト」です。

記事や商品ページを、あらかじめ全部 HTML として焼いて、 世界中の高速 CDN にばら撒いておきます。

お客さんが来たときに「動的に生成」する作業そのものが無いので、 壊しに行ける場所もありません。 飲食店で例えるなら、
WordPress = ご注文ごとに毎回ゼロから調理
Jamstack = あらかじめ全店舗に冷凍済みを配送

「冷凍」とはいえ、味(中身・デザイン)は全く落ちません。 更新は CMS 画面でいつもどおりポチポチするだけです。

WordPress

毎回作る
  • 👤 訪問者がアクセス
  • 🌐 共有サーバーが受信
  • 🐘 PHP が起動
  • 🗄️ MySQL に問い合わせ
  • 🔌 プラグインが続々と動く
  • 📄 HTML を生成
  • 🚚 やっと表示(数秒)

攻撃面: PHP / DB / プラグイン全部

Jamstack

作りおき
  • 👤 訪問者がアクセス
  • 🌍 一番近い Cloudflare に着弾
  • 📄 焼いてある HTML を即配信
  • ✅ 完了(数十 ms)

攻撃面: ほぼゼロ(壊す対象がない)

09 / 結果として何が変わる?

速い。壊れにくい。そして、たぶん安い。

速さ

10〜40

典型的な WordPress 比で、表示開始が 10〜40 倍速。 実測で 6.3 秒 → 1.4 秒という事例も。Core Web Vitals が自動で良くなり、SEO にも効きます。

壊れにくさ

攻撃面 ≒ 0

SQL インジェクションも、ブルートフォースログインも、プラグインの 0day も、
「狙う対象が公開されていない」ので構造的に成立しません。

コスト

−25〜40%

ヘッドレス化したサイトのホスティング費は平均で 25〜40% 減。
個人〜中小規模なら Cloudflare Workers の無料枠で十分回ります。

数値出典: Smashing Magazine 移行事例 / Numen Technology 2025 / Cloudflare 公式

10 / 横並びで比較する

同じサイトを、
2 つの世界で並べてみると。

観点

攻撃される面

WordPress

PHP / DB / wp-admin / 数十個のプラグイン全部

Jamstack

ほぼゼロ。サーバー側コードも DB も公開しない

観点

表示速度

WordPress

DB に毎回問い合わせ → 1〜6 秒

Jamstack

事前生成済み HTML を CDN 配信 → 数十 ms

観点

落ちにくさ

WordPress

アクセス集中で 503。同居サイトのせいでも落ちる

Jamstack

Cloudflare の世界 330 都市から自動配信。実質落ちない

観点

毎月の運用負担

WordPress

コア・テーマ・プラグインを毎週ログインして更新

Jamstack

更新作業ゼロ。記事追加は CMS 画面から普段どおり

観点

ハッキング復旧費

WordPress

1 回 200〜3,000 ドル + 営業損失

Jamstack

そもそも『改ざんできる場所』がない

観点

月額ホスティング

WordPress

共有レンタル 500〜2,000 円 + 保守費

Jamstack

Cloudflare Workers 無料枠で十分回ることが多い

11 / 配信基盤について

配信は Cloudflare Workers
世界 330 都市のエッジから、3 秒以内に DDoS を弾きます。

ネットワーク容量

477 Tbps

個人サイトでも、世界最大級の盾がデフォルトで効きます。

エッジ拠点

330+ 都市

日本国内アクセスは国内エッジから配信。物理的に遠くないので速い。

DDoS 自動緩和

≤ 3 秒

ほとんどの攻撃は 3 秒以内に自動で遮断。あなたが何もしなくて大丈夫。

最後に

まずは、
あなたのサイトを 1 つ、
壊れない側に避難させませんか。

いまの WordPress を完全に捨てる必要はありません。
管理画面はそのまま、表に出る部分だけ Jamstack に差し替えることも可能です。
まずは現状診断と、移行の概算見積もりから。30 分のオンライン相談で、現実的な選択肢が見えてきます。

無料で相談してみる もう一度トップへ

※ 共有レンタルからの移管・独自ドメインの引っ越しもサポートします。