あなたの WordPress、
思っている以上に、
危ない状態になっています。
いま「サイトが急にハッキングされた」というご相談が、本当に増えています。
たいてい原因は 「気づかないうちに、放置プラグインが穴になっていた」。
このページは、なぜそうなるのか、そして
もう一段ラクで安心な作り方
について、できるだけ専門用語を使わずに説明します。
- 駆除されたサイトのうち WordPress が占める割合
- 95.5%
- 出典: Sucuri(米国セキュリティ会社) 2023 年レポート
- 2024 年に新しく見つかった WordPress の穴
- 7,966件
- 出典: Patchstack 2025 ホワイトペーパー
- 公式プラグインのうち、2 年以上放置されているもの
- 59%
- 出典: wordpress.org 公式ディレクトリ集計 / WP Tavern 2015 系列
01 / いまの状況
WordPress は、
「世界で一番、狙われやすい」サイトです。
世の中のサイトのおよそ 4 割は WordPress でできています。
これは「世界中の家のうち、4 割が同じカギを使っている」のと同じこと。
だから、どこか 1 軒で『カギが破られた』とわかると、
攻撃者はそのカギを世界中で一斉に試します。
個人サイトであっても例外ではなく、毎分のように自動でドアノブを回されているのが今の状況です。
攻撃の集中ぐあい
ハッキングされて駆除されたサイトのうち、 95.5% が WordPressでした。 シェア(約 4 割)から考えると、2 倍以上の割合で集中砲火を浴びていることになります。
使われている割合
42%
W3Techs 2026
狙われる割合
95.5%
Sucuri 2023
つまり、シェアの 2 倍以上の確率で集中的に狙われている、ということです。
02 / 弱いのは「あとから足したプラグイン」
WordPress 本体は、じつは結構しっかりしています。
穴になっているのは 「あとから入れたプラグイン」のほう。
ふつうの WP サイトの中身イメージ
※ 1 つでも放置プラグインが入っていれば、サイト全体がやられます。
96%
の穴は「プラグイン」が原因
2024 年に見つかった 7,966 件のうち、本体由来はたった 7 件。 ほとんどはあとから足したプラグインの問題でした。
59%
のプラグインは 2 年以上もう更新されていません
WordPress 公式自身が「2 年以上更新なし=放棄プラグイン」として警告表示する基準を採用しており、
公式倉庫の過半数がこの状態。それを知らずに入れているサイトは本当に多いです。
出典: wordpress.org 公式ディレクトリ集計(2025) / WP Tavern 2015
46%
の穴は公表された瞬間に直せない
「更新すれば直るんでしょ?」と思いがちですが、
2024 年は 33%、2025 年は 46% にまで悪化。
約半数は公表された時点でもう直す方法が出ていません。
出典: Patchstack 2025 / 2026 ホワイトペーパー
03 / シェアサーバーの落とし穴
いちばんやっかいなのは、
「お隣さんのせいで巻き込まれる」こと。
多くの方が使っている「月数百円〜のシェア型レンタルサーバー」は、 1 台のサーバーを何百人もで分け合っています。 ──ちょっと豪華なシェアハウスのようなものです。
たとえ話
同居人の誰か 1 人が「玄関を開けっぱなし」だと、
泥棒は 家中を回って、あなたの部屋にも入ってきます。
しかも、いまの泥棒は鍵束の置き場所まで知っています。
あなたが何も悪いことをしていなくても、巻き込まれて改ざんされることがあります。
これは想像のお話ではなく、
セキュリティ大手の Sucuri も Wordfence も
「現役で観測されている攻撃」と公にしています。
お隣さん経由でやられる
あなたの管理が完璧でも、巻き込まれます。
メールも届かなくなる
同じサーバーにスパム送信者がいると、あなたの送ったメールも 届かなくなることがあります。
SEO まで連帯責任
サーバーの評判が落ちると、 検索順位が下がることもあります。
巻き込まれの流れ
- STEP 1
誰か 1 人がやられる
同居している他人の放置プラグインが入り口に。
- STEP 2
サーバー内を歩き回られる
同じ家の中なので、廊下から各部屋を見て回れます。
- STEP 3
あなたの設定情報が抜かれる
古い設定のままだと、ID やパスワードが平文で読まれてしまうことがあります。
- STEP 4
あなたのサイトも改ざん
盗まれた情報で『正規の更新』として書き換えられるため、機械的な防御では止めにくくなります。
04 / 実際にあった事件
国内では 2013 年に大きな事件があり、
そして同じ仕組みが今も使われています。
有名なシェアレンタルサーバーで、 WordPress を運用している 8,438 アカウントのサイトが、 数日のうちに次々と改ざんされました。
原因は プラグインの穴と シェアサーバーのつくりのかけ算。 1 つのアカウントが踏み台になり、サーバー内の他のサイトに次々と燃え広がる、 まさに「お隣さん経由」の見本のような事件です。
被害サイトは数日〜数週間にわたって表示停止・修復作業を強いられました。
被害サイト数
8,438
同じシェアサーバー上で、ほぼ同時に被害
本質はこれ
あなたが完璧でも、お隣で沈む
他人事ではない
同じ作りが、いまも現役で動いています
05 / AI が、勝手に穴を見つける時代
ここまでは「人間がやっていた攻撃」の話。
これからは AI が、自分で穴を見つけて、自分で入ってきます。
「AI が攻撃に使われたら大変だね」という未来予想は、2025 年に終わりました。 すでに、人間がほとんど手を動かさず、AI だけで世界 30 組織に侵入を試みた事例が、AI 提供会社自身から公表されています。 翌 2026 年には、その AI がさらに桁違いに強くなりました。
世界初、AI が「ほぼ自動」で
30 社に侵入を試みた
中国系の攻撃グループが AI を使い、テック企業・金融・政府機関などに侵入。 作業の 8〜9 割を AI が自分で進めたことが、AI 提供会社の公式発表で明らかになりました。
出典: Anthropic 公式 (2025-11)
強すぎて、一般公開が
見送られた AI が登場
主要な OS やブラウザの穴をほぼ全て見つけられる能力が確認され、 開発元自身が「危険すぎる」と判断して通常公開を取りやめました。 穴 1 件を見つけるコストは $50 以下、つまり攻撃が経済的に成立する水準です。
出典: Anthropic / red.anthropic.com
「AI 機能つきプラグイン」自体が、
もう侵入経路になっている
人気の WP 用 AI プラグインに重大な穴。 ある調査では WP 用 AI プラグインの 4 割超で遠隔操作が可能でした。 便利になるほど、入り口も増えてしまっています。
出典: Patchstack / WPScan (2025-10)
いま起きていること
メーカーが穴を直す速さよりも、
AI が次の穴を見つける速さ のほうが速くなりました。
攻撃側のコスト
$50 / 件 以下
穴 1 件を見つけるコスト。経済的に成立してしまう水準。
直る速さ
数日〜数週間
作者が放置していれば「ずっと直らない」もたくさん。
残る現実解
穴を作らない
「直す」競争は、もう勝てません。そもそも動く部分を持たない作りに変えるのが現実解です。
06 / 触らないだけで劣化する
そして、ふだんから手をかけていないと、
サイトはほぼ確実に古くなっていきます。
放置されがちな更新
39%
ハッキングされたサイトの 39% は、
「ただ更新を放置していただけ」が原因でした。
直すときの相場
数万〜数十万円
1 回の駆除で。さらに営業損失と、検索順位の急落が重くのしかかります。
ふだんの作業
毎週
更新ボタンを押し、互換性を確認し、バックアップを取り、たまに白い画面に出会う ── 本当に時間を取られるのはここです。
解決編 / 発想を変える
じゃあ、
「最初から狙う場所がない」
サイトを作ればいい。
WordPress が攻撃に弱いのは、
お客さんが来るたびに、サーバーで毎回ゼロから作っているからです。
動いている部品が多いほど、壊せる部品も多くなります。
だったら、その仕組みを最初からなくしてしまうのがいちばん早い ──
これが「作りおき型のサイト」という考え方です。
07 / 作りおき型って?
ざっくり言うと、
「前もって完成させておく」サイトです。
記事や商品ページを、事前に全部 HTML として焼いて、
世界中のサーバーに配っておきます。
お客さんが来た瞬間に「動的に作る」工程が無いので、
壊しに行ける場所もありません。
飲食店でたとえると ──
WordPress = ご注文ごとに毎回ゼロから調理
作りおき型 = あらかじめ全店舗に冷蔵で配送。
「冷蔵」とはいえ、味(中身・デザイン・更新の使い心地)はまったく落ちません。
更新はいつもの管理画面で、いつもどおりポチポチするだけです。
WordPress
毎回作る- 👤 訪問者がアクセス
- 🌐 シェアサーバーが受け取る
- 🐘 中で WordPress が起動
- 🗄️ データベースに問い合わせ
- 🔌 プラグインが続々と動く
- 📄 ようやく HTML を作る
- 🚚 やっと表示(数秒)
攻撃される面: 全部
作りおき型
焼いてある- 👤 訪問者がアクセス
- 🌍 一番近い配信網に着く
- 📄 焼いてある HTML をそのまま返す
- ✅ 完了(一瞬)
攻撃される面: ほぼゼロ
08 / 結果として何が変わる?
速くなる。壊れにくい。そして、たぶん安くなる。
速さ
10〜40倍
典型的な WP との比較で、表示が 10〜40 倍速くなる事例も。
実測で 6.3 秒 → 1.4 秒というケースもあります。
Google の評価項目(Core Web Vitals)が自動で良くなるので、
SEO にもじわじわ効きます。
壊れにくさ
攻撃面 ≒ 0
ID/パスワードへの総当たりも、プラグインの新しい穴も、 そもそも狙う対象が公開されていないので構造上ほぼ刺さりません。
コスト
−25〜40%
ホスティング費は平均で 25〜40% 減。 個人〜中小規模なら、 無料枠で十分まわることも珍しくありません。
出典: Smashing Magazine 移行事例 / Numen Technology 2025 / Cloudflare 公式
09 / 横並びで見ると
同じ内容のサイトを、
2 つの作り方で比べると、こうなります。
観点
サイトを開いたとき
WordPress
毎回サーバーで作る → 1〜6 秒
作りおき型
前もって作っておく → 一瞬
観点
毎月の手入れ
WordPress
本体・テーマ・プラグインの更新を毎週
作りおき型
手入れほぼゼロ。記事更新はいつもの画面で
観点
万一壊された時
WordPress
1 回 数万〜数十万円 + 営業損失
作りおき型
そもそも壊せる場所がほとんどありません
観点
アクセス集中したとき
WordPress
重くなる、最悪止まる
作りおき型
世界中のサーバーから配るので強い
観点
毎月の費用
WordPress
サーバー代 + 保守費
作りおき型
個人〜中小規模なら無料枠で足りることが多い
10 / 速さは Google が測ってくれます
このページ、
「速さ」も「使いやすさ」もオール満点です。
いま見ているこのページを、Google の PageSpeed Insights という測定ツールにかけると、 デスクトップで 100 / 100 / 100 / 100(4 項目すべて満点)を出します。
口で言うだけだと信じづらいので、結果は誰でもその場で確かめられるようにしてあります。 下のボタンから Google の公式サイトに飛んで、スコアの内訳をご確認ください。
PageSpeed Insights で見てみる →11 / 念のため、第三者にも聞いてみる
もしかして、
ちょっと大げさに書いてない?
……と感じた方は、ぜひ あなたが普段使っている AI(ChatGPT / Claude / Gemini など) に聞いてみてください。 下のメッセージをそのままコピーして、いつものチャット欄に貼って送るだけです。 第三者の目で確認してもらうのが、いちばん早いと思います。
いまから新しくウェブサイトを作るとしたら、 WordPress を使うべきかどうか、あなた自身で調べて教えてください。 できれば、こんな観点で見てみてください: ・最近の WordPress やそのプラグインで、どれくらい不具合(脆弱性)が見つかっているか ・不具合が公表されてから直されるまで、どれくらい時間がかかっているか ・もう何年も放置されたままになっているプラグインがどれくらいあるか ・安いシェアレンタルサーバーで、他の人のサイトの被害が自分にも飛び火するリスク ・AI を使った自動攻撃ツールの登場で、攻撃のスピードがどう変わったか ・WordPress を作っている本体の運営チームが、いま揺れていないか ・「あらかじめ全部作っておくタイプのサイト(静的サイト)」と比べたとき、 WordPress のほうが狙われやすい理由はあるのか 調べた上で、「場合によります」ではなく "あなたなら、いま新しく作るサイトに WordPress を選びますか?" を 率直に答えてください。
※ 私たちが「合っています」と言うより、あなたの AI に聞いてもらったほうが、たぶん早いです。