【重要】WordPressのアップデートを行わないと、サイトが乗っ取られる危険性があります

WEB制作 その他

【重要】WordPressのアップデートを行わないと、サイトが乗っ取られる危険性があります

更新日:

不正アクセス、サイバー攻撃、ランサムウェア感染――
こういった言葉を、ニュースやネット記事で最近よく耳にするようになったのではないでしょうか。

大企業だけの話に見えますが、実際には

  • 中小企業のホームページ
  • 店舗のブログサイト
  • 個人事業主の告知サイト

といった WordPressで作られた比較的小さなサイト も、毎日のように攻撃の対象になっています。

その中でも特に狙われやすいのが、

「制作してからアップデートをほとんどしていないサイト」
「WordPress や PHP の更新通知を見ているけれど、そのまま放置しているサイト」

です。

こんな状態、心当たりはありませんか?

  • サイト公開後、「更新してください」という表示を見ても、そのまま数年放置している
  • 管理画面の上部に「WordPress の新しいバージョンが利用できます」というメッセージがずっと出ている
  • サイトヘルスに「PHP のバージョンを更新してください」「サポートが終了したバージョンの PHP を使用しています」といった警告が出ている
  • 左メニュー「プラグイン」の横に、赤い丸の数字(更新件数)がいつも表示されている

こうした状態のサイトは、**攻撃者から見ると「カギのかかっていない家」**のようなもので、

  • 不正アクセス
  • サイト改ざん
  • 情報漏洩
  • ウイルスやランサムウェア配布の踏み台にされる

といった被害につながる危険性が高くなります。

「制作してからアップデートを行った記憶がない」
「PHP のバージョンアップ通知を見たことがあるが、どうしていいか分からない」

そんな方は、特に注意が必要です。

まずは WordPress 管理画面で「更新のお知らせ」を確認しましょう

まずは WordPress 管理画面で「更新のお知らせ」を確認しましょう

 

【チェック手順】

  1. WordPress 管理画面にログインします。
  2. 左側メニューの [ダッシュボード]→[更新] を開きます。
    • 上部に「WordPress は最新バージョンです」と表示されていますか?
    • 新しいバージョンの WordPress が利用できます」と出たままになっていませんか?
  3. 同じ画面の下の方で、
    • プラグインの更新件数 がたくさん残っていないか
    • 利用中テーマに更新通知が出ていないか
      を確認します。
  4. さらに、左メニューの [ツール]→[サイトヘルス] を開きます。
    • PHP のバージョンを更新してください
    • サポートが終了したバージョンの PHP を使用しています
      といったメッセージが表示されていないかを確認します。

1つでも当てはまる場合は、早めのご相談をおすすめします

上記のチェックで、

  • WordPress の更新通知が出ている
  • プラグイン更新が大量に溜まっている
  • PHP に関する警告が表示されている

という状態であれば、そのまま放置すると不正アクセスやサイト停止などのトラブルにつながる可能性が高いと考えてください。

制作後、アップデートを行った記憶が無い方
WordPress の管理画面で PHP のバージョンアップ通知を見かけたことがある方

は、ご自身だけで無理に作業を進める前に、ぜひ一度ご相談ください。

ここから先では、

  • WordPress 本体・PHP・プラグインを更新しないことで起きる具体的な危険性
  • 実際に起こっている被害の例
  • 安全にアップデートするための考え方と手順
  • 当社でご提供できるサポート内容

を順番にご説明します。

なぜ「アップデートしないと危険」なのか

1. WordPress本体を更新しないリスク

WordPress本体(コア)には、これまで数多くの脆弱性が見つかっており、そのたびに修正を含むアップデートが提供されています。
古いバージョンのまま使い続けるということは、「直すべき不具合を知りながら直していない」状態です。

更新を怠ると、例えば次のようなことが起きます。

  • サイト改ざん
    • トップページが書き換えられ、怪しい広告や別サイトに勝手に誘導される
  • 管理者アカウントの乗っ取り
    • 管理者ユーザーを勝手に追加されたり、ログイン権限を奪われる
  • SEOスパム
    • 日本語版サイトなのに、英語や中国語のスパムページが大量に作られ、検索結果が汚される
  • 訪問者への二次被害
    • 改ざんされたページ経由で、訪問者のPCやスマホにマルウェアを仕込まれる危険性がある

WordPress公式や各種セキュリティベンダーも、**「WordPressは常に最新版を利用すること」**を強く推奨しています。

2. PHPを古いまま使うリスク

PHPは、WordPressを動かしている土台となるプログラム言語です。
多くのレンタルサーバーや公式情報では、古いPHPバージョンの利用を強く非推奨としています。

古いPHPを放置すると…

  • 新しい脆弱性が見つかっても、セキュリティ修正が提供されない
  • 既知の脆弱性を悪用され、
    • サーバーが乗っ取られる
    • 管理画面に不正ログインされる
    • スパム・マルウェアの踏み台にされる
      といったリスクが高まります。
  • サーバー会社側で古いPHPの提供を終了したとき、
    ある日突然、サイトが真っ白になって表示されなくなる こともあります。
  • 新しいWordPressやプラグインが対応せず、更新しただけでエラーが出ることもあります。

3. プラグインを更新しないリスク

プラグインはとても便利ですが、一番攻撃されやすいポイントでもあります。
人気プラグインは利用サイト数が多いため、攻撃者にとって「効率の良いターゲット」になりがちです。

実際にあったプラグインの被害例

  • File Managerプラグインの脆弱性
    • 認証なしで悪意のあるファイルをアップロードされ、任意のコードを実行される脆弱性が発生。
    • IPAやレンタルサーバー各社が「改ざん被害が出ているので至急アップデートを」と注意喚起。
  • Contact Form 7を狙った攻撃
    • お問い合わせフォームから大量のスパムメールが送信される事例が報告。
    • レンタルサーバー側がアカウントのメール送信制限をかけざるを得なくなり、
      本来送るべきメール(注文確認・予約通知など)が送れなくなる危険があると案内されています。

こうした脆弱性情報は、JPCERT/CCやIPA、レンタルサーバー各社のサイトで公開されるため、
「脆弱なバージョンのまま放置しているサイト」だけを自動ツールで探して攻撃する、ということが現実に行われています。

特に注意が必要なサイトの特徴

次のような状態に当てはまる場合、かなり危険ゾーンだと考えてください。

  • 公開から 2〜3年以上、WordPress本体やプラグインを更新していない
  • 制作会社から引き継いだまま、管理画面にほとんどログインしていない
  • 「PHPが古い」という警告を見ているが、何もしていない
  • プラグインの更新マーク(赤い丸の数字)が いくつも 出ている
  • サイトの表示速度が遅くなってきた、エラーが出るのに放置している

一つでも当てはまる場合は、
「そろそろメンテナンスのタイミング」ではなく、「すでに遅れ気味」 と思っていただくのが安全です。

自分のサイトがどれくらい危ないかを簡単にチェックする方法

1. WordPressのバージョン

  • [ダッシュボード]→[更新]画面で、
    • 「WordPressは最新バージョンです」と表示されているか
    • 6.x よりかなり古いバージョンが表示されていないか

2. プラグイン・テーマの更新状況

  • [プラグイン]→[インストール済みプラグイン]で、
    • 「新しいバージョンがあります」が大量に出ていないか
  • [外観]→[テーマ]で、
    • 使用中テーマに更新が来ていないか

3. PHPバージョンと警告

  • [ツール]→[サイトヘルス]→「ステータス」タブで、
    • PHP関連の警告が出ていないか
  • 「情報」タブ → 「サーバー」でPHPバージョンを確認し、
    • 7.4 以下のすでにサポートが切れているバージョンではないかをチェック

4. 不審な挙動・改ざんの兆候

  • 覚えのない英語ページ・広告ページが増えていないか
  • お問い合わせフォーム経由のスパムが急に増えていないか
  • 検索結果に、怪しいタイトルや説明文が表示されていないか

安全にアップデートするための基本的な考え方

「いますぐ全部更新すればOK?」というと、残念ながらそう単純でもありません。

  • PHPだけ先に上げると、古いプラグインが動かず真っ白になる
  • プラグインを最新にしたら、テーマと相性が悪くレイアウトが崩れた

といったケースもあるため、順序と準備が大事です。

基本の流れ(ざっくり)

  1. 必ずバックアップを取る
    • ファイル一式(テーマ・プラグイン・画像など)
    • データベース(記事や設定)
  2. 現在の環境を整理してメモする
    • WordPressのバージョン
    • PHPのバージョン
    • 使用中テーマ・プラグインの一覧
  3. テスト or 段階的な更新
    • 可能ならテスト環境(ステージング)を用意し、そこで更新を試す
    • だめなら、本番でも
      1. プラグイン
      2. テーマ
      3. WordPress本体
      4. 最後にPHP
        と順番に慎重に進めるのが無難です。
  4. 動作確認
    • トップページ・主要ページ・お問い合わせフォーム・管理画面など、
      利用頻度の高い部分を一通り確認します。
  5. 「まとめて年1回」ではなく「小まめに」
    • 数年分まとめて更新するのはリスクが大きいので、
      月1〜3ヶ月に1回程度 の小まめなメンテナンスが理想です。

特に1年以上アップデートを放置している場合は、アップデート時に上記の不具合を起こす可能性が高いです。事前のバックアップを行わずに、アップデートした後に不具合が発生した場合、復旧が困難になります。

当社でサポートできること

「危ないのは分かったけれど、自分でやるのはちょっと不安…」
という方のために、当社では次のようなサポートをご提供しています。

  • 現状診断
    • WordPress / PHPのバージョン、プラグイン一覧、サイトヘルスの内容などをチェックし、
      どこにリスクがあるかをレポートします。
  • アップデート代行
    • バックアップ → 段階的な更新 → 動作確認まで、まとめてお任せいただけます。
  • PHPバージョンアップ作業
    • ご利用中サーバーの仕様に合わせ、事前確認のうえ安全な範囲でPHPを新しいバージョンに切り替えます。
  • お問い合わせフォーム(Contact Form 7 etc.)のセキュリティ強化
    • reCAPTCHA導入、スパム対策、送信エラーへの対応など
  • 改ざん・不正アクセスが疑われる場合の緊急対応
    • 可能な範囲での復旧作業と、再発防止のための提案を行います。
  • 定期保守プラン
    • 定期的なアップデート・バックアップ・動作確認をセットにした保守メニューもご用意可能です。

特に、
「サイト制作後に一度もアップデートした記憶がない」
「管理画面でPHPのバージョンアップ通知を見たことがある」
「管理画面でなにかしらの警告が表示されたまま放置している」
という方は、トラブルが起きてからではなく、その前にご相談いただくのが安心です。

まずは一度、現在の状況を一緒に確認するところからお手伝いさせていただきます。

 

-WEB制作, その他
-, , , ,

Copyright© arst IT support , 2026 AllRights Reserved Powered by AFFINGER4.