今回は、多くの中小企業の経営者様やウェブ担当者様が見落としがちな、深刻な「セキュリティの盲点」についてお話しします。

「自社のメインサイトは、WordPressもプラグインも常に最新にしているから大丈夫」と思われているかもしれません。

一度、ご契約されているサーバーの中をご確認してみてください。

数年前にテストで作ったサイト、リニューアル前の古いブログ、キャンペーン用に一時的に作った期限切れの特設ページ等、同じサーバーの中に放置状態のWordPressサイトは残っていないでしょうか?

実は、この「放置されたサイト」こそが、最新かつ稼働中のメインサイトを壊す最大の原因になります。

脆弱性の96%は「本体」ではなく「プラグイン」にある

まず、知っておいていただきたい衝撃的なデータがあります。

セキュリティの専門機関であるPatchstackが公開した最新レポート「State of WordPress Security 2025」によると、2024年に報告されたWordPressに関するセキュリティ上の欠陥(脆弱性)のうち、96%が「プラグイン」に関連するものでした。

WordPress本体に原因があるものはごくわずかです。(原文の表を日本語訳しています)

引用元:Patchstack - State of WordPress Security 2025 (2024年の統計データをまとめた最新レポート)

https://patchstack.com/whitepaper/state-of-wordpress-security-in-2025

ここでいう「脆弱性とは、簡単に言えば「泥棒がこっそり侵入できる、家の壁のひび割れや、壊れた窓の鍵の放置状態」のようなものです。

メインサイトを最新にしていても、同じサーバー内の別のフォルダに「放置された古いWordPress」があれば、そこには数年前の古いプラグイン(=鍵の壊れた窓)がそのまま残っています。

攻撃者はその隙間を狙って、いとも簡単にサーバーの内部へ侵入してきます。

攻撃数は68%も増加。「同じサーバー内」なら火事は広がる

「古いサイトが乗っ取られても、メインサイトが無事ならいいのではないか?」と思われるかもしれません。

しかし、現実はそうではありません。

世界的なセキュリティ企業であるWordfenceの最新レポート「2024 Annual WordPress Security Report」によると、2024年に新たに公開された脆弱性の数は、前年に比べて約68%も増加しています。

攻撃の手法は年々激化しています。

(※下記のグラフは2025年4月段階なので、2025年が減っているように見えていますが、2025年は4ヶ月ほどの数字です)

引用元:Wordfence - 2024 Annual WordPress Security Report (2025年4月公開の最新年次レポート)https://www.wordfence.com/blog/2025/04/2024-annual-wordpress-security-report-by-wordfence/

多くの方が利用しているレンタルサーバーは、1つの契約の中で複数のサイトを運営できる仕組みになっています。これをマンションに例えると、各サイトは「別々の部屋」のようなものです。

しかし、古いWordPressの脆弱性を突かれるということは、泥棒に「マンション全体のマスターキー」を渡してしまうような状態に近いのです。

ひとたびサーバーの内部権限を奪われると、攻撃者は同じサーバー内にある別のフォルダ、つまり「最新のメインサイト」のファイルまで自由に書き換えることができます。

セキュリティ被害が引き起こす「目に見えない大きな損失」

実際に被害に遭うと、どのようなことが起きるのか。代表的な事例は「SEOスパム」です。

攻撃者は、乗っ取ったサイトの中に、人間には見えない形で大量の不正な広告リンクや、怪しい薬・ブランドコピー品の販売ページを埋め込みます。

この状態で放置されると、Googleなどの検索エンジンから「このサイトは危険なサイトである」と判断されます。

その結果、ある日突然、検索結果からあなたの会社名が消えてしまうのです。

一度失った検索順位と社会的信頼を取り戻すには、半年~数年単位の時間と膨大なコストがかかります。

また、Patchstackの同レポートによると、報告された脆弱性のうち約43%は「認証なし(パスワード入力なし)」で攻撃可能なものでした。

 これは、「パスワードが弱いから突破される」という話ではありません。

ログイン画面を通らなくても、直接入り込めてしまう別の入り口が開いているという意味です。

つまり、どれだけ複雑なパスワードを設定していても、プログラム自体に不具合(穴)があれば、そこから誰でも侵入できてしまう可能性があります。

いくら玄関の鍵を頑丈にしても、窓が開いていれば意味がない、というイメージです。

サーバー内の「デジタル大掃除」を今すぐ行うべき理由

これらを防ぐために行うべき対策はシンプルです。それは「不要なものを完全に削除すること」です。

以下のチェックリストを参考に、サーバーの中を確認してください。

  1. 不要なサイトは、ファイルもデータベースも「丸ごと削除」する

    「非公開」にしたり、プラグインを「停止」したりするだけでは不十分です。
    プログラムファイルがサーバーの中に残っている限り、攻撃の入り口になります。
    使っていないWordPressは、サーバーの管理画面からフォルダごと削除してください。
  1. テスト環境や旧サイトを放置しない

    制作会社に依頼した際の「テスト用サイト」が残っていないか確認してください。
    これも非常に危険な侵入経路になります。用が済んだらすぐに消す、これが鉄則です。
  1. 消せないサイトがある場合は、メインサイトと同じ強度で管理する

    どうしても過去のブログを残しておきたい場合は、メインサイトと同じように、WordPress本体、テーマ、プラグインをすべて最新の状態にアップデートし続けなければなりません。

ウェブサイトの管理は、会社で例えると「掃除」や「戸締まり」と同じく、経営を守るための基礎部分です。

リスクをゼロにするための決断

放置されたWordPressは、いわば「いつ攻撃されるかわからないファイル群」をサーバーの中に抱えているようなものです。

攻撃は、URLを知らなくても、IPアドレス+WordPress特有の典型的なパスを辿ってきます。

すべてのWordPressサイトには、一例として、下記のようなファイルやディレクトリが同じ名称で存在しています。

wp-config.php(←最重要ファイル)
/wp-login.php
/wp-admin/
/xmlrpc.php
wp-content/plugins/

これはサーバー内にWordPressがあるかどうかを確認するための探索です。

つまり外部からリンクされていなくても、非公開にして検索に出ていなくても、サーバーに存在するだけで見つかります。

最新のメインサイトをどれだけ美しく作り込み、集客に力を入れても、たった一つの放置された古いWordPressのプラグインが、すべてを台無しにする可能性があります。

もし、ご自身のサーバーに何が入っているか分からない、あるいは古いサイトの削除ができず不安だという場合は、迷わず専門家に相談してください。

大きなトラブルが起きてから対処するよりも、今のうちに「大掃除」を済ませておく方が、コストもリスクも圧倒的に低く抑えられます。

ウェブロードでは、お客様のサーバー環境の整理や、見えないリスクの診断も行っています。

大切な会社の資産であるウェブサイトを守るために、今一度サーバーの中を確認してみてください。

ウェブロードでは、こうしたセキュリティ対策から、売上を伸ばすためのウェブ活用まで、幅広くサポートしています。もし気になることがあれば、いつでもお問い合わせください。

まずは、サーバーの管理画面にログインして、使っていないドメインやフォルダがないか、一度チェックしてみることから始めてみてください。

編集後記

サーバーの中を整理することは、オフィスのデスクを片付けるのと似ています。

ちなみに弊社で他社様からサイト管理を引き継ぐ際、忘れ去られた古いデータが大量に見つかることがよくあります。

そのようなタイミングではお伝えしやすいですし、弊社側でも集中的に確認・対応ができます。

放置しているからといって直ちに問題が発生するとは限りません。

しかし、脆弱性は時間の経過とともに蓄積され、ある日突然重大なセキュリティインシデントへと発展する可能性があります。

だからこそ、平時のうちに着実に管理・対策を講じておくことが、すべての企業にとって重要です。

投稿者プロフィール

山口 敦
山口 敦
2004年頃の会社員時代からブログ作成を始める。ブログ作成が楽しくなり、そのまま趣味が高じて2006年にホームページ制作で起業、2008年に株式会社ウェブロードを設立。現在は、個人・中小事業者のWordPressサイト制作・改善を中心に、Web業界20年の知識と経験を生かして、自治体案件等の大型案件のWebディレクターや中小企業・個人事業主へのWeb全般のアドバイザー、SEO/AIOのコンサルタントとしても活動中。 プロフィールはこちら

お問合せフォームはこちら

弊社サービスをご検討いただきありがとうございます。

こちらのカテゴリ内のご質問と回答で解決できない場合は、ぜひ下記フォームよりお問い合わせください。ご相談・お見積りのご依頼は無料です。

お申込前のお打ち合わせはメール/お電話/GoogleMeet等オンラインでもご対応可能です。全国からお問い合わせを受付けています。
翌営業日を過ぎても弊社からの連絡がない場合はメールが届いていませんので、大変お手数をお掛けしますが、下記メールアドレスにご連絡ください。

    お問い合わせの前に下記、ご確認をお願いいたします。

    任意貴社サイトURL

    必須弊社を何で知りましたか

    もし可能でしたら検索キーワードを教えてください。

    差し支えなければご紹介者様のお名前を教えてください。

    もし可能でしたら具体的な媒体等を教えてください。

    必須お問い合わせ項目

    必須制作費のご予算はどれくらいですか?

    企画・設計、デザイン、画像・文章の作成、サイト内検索システムの導入等、
    ヒアリングを元にご予算やご希望に応じたお見積りをご提案させて頂きます。
    弊社制作費の費用感につきましてはこちらの記事をご参照ください。

    必須制作目的はどうお考えですか?(複数選択可)

    どこに力を抜きどこに力を入れるのか、
    ご予算とご要望の中から最適なご提案をさせていただきます。

    必須どのような機能が必要ですか?(複数選択可)

    SSL(https://~)対応、ブログ機能、スマホ対応(レスポンシブ)、
    ログイン等セキュリティ対策、ページタグSEOの最適化は標準搭載。

    必須どのような作り方がご希望でしょうか?(複数選択可)

    WordPressでの構築になりますので、お客様のご要望に比較的柔軟にお応えすることが可能です。
    企画ご提案する前に参考にさせていただく項目です。

    必須お問い合わせ内容を教えてください

    必須お名前

    必須フリガナ

    必須メールアドレス

    必須貴社名

    任意電話番号(ハイフン無し・半角数字)

    こちらの関連記事も読まれています

    異業種の事業者はどんな記事で集客できているのか? WordPressの不正アクセス対策と適切な管理方法 有益な情報ブログ記事は何記事書けば集客に繋がるか 人材採用は会社にとって非常に重要な仕事
    カテゴリー
    コンテンツ制作メルマガバックナンバー業種別集客ホームページ制作
    前の記事
    異業種の事業者はどんな記事で集客できているのか?
    2026年1月16日