1. ホーム
  2. セキュリティ完全ガイド
  3. 脆弱性対策・更新管理
🔍 脆弱性対策 全サイト共通

WordPress脆弱性対策ガイド
プラグイン・テーマの安全な更新管理

WordPressサイトへの攻撃の56%以上はプラグインの脆弱性を標的にしています。このページではプラグイン・テーマ・WordPressコアの脆弱性を調査する方法、安全に更新するための手順、廃止されたプラグインの代替品選定、ステージング環境での事前テストまで体系的に解説します。

📋 目次

このページで解説する内容

  1. 1.脆弱性の現状データと対策の優先度
  2. 2.脆弱性チェックツールの使い方
  3. 3.プラグイン・テーマの安全な更新手順
  4. 4.ステージング環境でのテスト方法
  5. 5.更新が止まったプラグインの見極め方
  6. 6.CVSSスコアで脆弱性の深刻度を判断する
  7. 7.自動更新ポリシーの設計
  8. 8.開発者向け:セキュアコーディング基礎
  9. 9.よくある質問(FAQ)

📊 1. 脆弱性の現状データと対策の優先度

脆弱性の種類全体に占める割合深刻度主な原因
プラグインの脆弱性56%以上高〜致命的不完全な入力値検証・認証バイパス
テーマの脆弱性約7%中〜高XSS・ファイルインクルージョン
WordPressコアの脆弱性約4%中〜高(修正が速い)多様・毎バージョンで修正
サーバー設定の問題約33%中〜高古いPHP・設定ミス・パーミッション

2025年に脆弱性が多く報告されたプラグインカテゴリ

ページビルダー系 要注意

Elementor・WPBakery・Divi等のページビルダーは機能が多いほど攻撃面が広い。特にXSS(クロスサイトスクリプティング)の脆弱性が多く報告されています。必ず最新版を維持してください。

フォーム系(Contact Form / WPForms等) 高リスク

ユーザー入力を受け付けるプラグインは脆弱性が見つかりやすい。SQLインジェクション・ファイルアップロードの問題が出ることがあります。

ECサイト(WooCommerce関連) 高リスク

決済情報を扱うため、攻撃者の標的になりやすい。WooCommerceの公式拡張は比較的安全ですが、サードパーティの決済プラグインには注意が必要。

メンバーシップ・ログイン系 中リスク

認証に関わるプラグインは権限昇格(Privilege Escalation)の脆弱性が出ることがあります。管理者権限を持つユーザーを増やせてしまう脆弱性は深刻です。

💡 差別化情報:脆弱性の「種類」によって緊急度が異なる
認証なしの脆弱性(Unauthenticated)は最も危険で、ログインなしで攻撃できます。認証済みの脆弱性(Authenticated, Subscriber+)は登録ユーザーが必要なためリスクが低下します。WPScan DBでは「Required: None」「Required: Subscriber」などと表示されるため、まずUnauthenticatedの脆弱性を優先して対処してください。

🔎 2. 脆弱性チェックツールの使い方

WPScan Vulnerability Database(wpscan.com)

WordPressに特化した脆弱性データベースです。プラグイン名・バージョンで検索して脆弱性を調べることができます。

1

wpscan.comにアクセスして検索

wpscan.comの「Vulnerability Database」でプラグイン名を検索。バージョンごとの脆弱性一覧が表示されます。

2

使用中のプラグインバージョンと照合

管理画面の「プラグイン」ページでバージョンを確認し、WPScanの結果と照合します。脆弱性が修正されたバージョンへの更新が必要です。

3

WPScan CLIツールで自動スキャン(上級)

SSHが使えるサーバーではコマンドラインツールで自動スキャンも可能です。wpscan --url https://yourdomain.com --api-token YOUR_TOKEN

Wordfence Intelligence(wordfence.com/threat-intel/vulnerabilities)

Wordfenceが提供する脆弱性データベース。WPScanとは別のデータソースで、CVSSスコア・影響するバージョン・修正バージョンが一覧で確認できます。どちらも無料で利用可能です。

✅ 定期チェックの自動化:WPScanはGitHub ActionsやCronと組み合わせて定期的な自動スキャンを設定できます。また、Wordfenceプラグインを導入していれば管理画面でスキャン結果が確認できます。

🔄 3. プラグイン・テーマの安全な更新手順

1

更新前:サイト全体のバックアップを作成

ファイルとデータベースの完全バックアップを取ります。→ バックアップ完全ガイド

2

更新内容(Changelog)を確認する

WordPress.orgのプラグインページ → 「詳細」→「変更履歴(Changelog)」で今回の更新で何が変わるか確認します。「Security fix」が含まれる場合は最優先で更新します。

3

ステージング環境で先にテスト(重要なサイト)

本番サイトと同じ環境のステージング(テスト環境)で更新を適用し、サイトが正常に動作することを確認します。

4

メンテナンスモードを有効にして更新

「WP Maintenance Mode」等のプラグインでメンテナンスモードを有効にし、更新中のアクセスを防ぎます。1プラグインずつ更新します。

5

更新後:主要ページの動作確認

フロントページ・記事ページ・お問い合わせ・決済フローなど重要ページを確認。キャッシュをクリアして最新の状態で確認することを忘れずに。

🧪 4. ステージング環境でのテスト方法

ステージング(テスト)環境は本番と同じWordPressをコピーした環境で、更新や変更を安全に試すことができます。

方法ツール費用難易度おすすめ
サーバー内蔵ステージングエックスサーバー・ConoHa WINGのステージング機能無料(サーバー料金込み)◎ 最も手軽
プラグインで作成WP Staging・Duplicator無料〜有料易〜中○ サーバー機能なしでも使える
ローカル環境で作成Local by Flywheel無料○ PC上で完結
手動でサブドメインに作成staging.yourdomain.comに手動コピー無料△ 技術者向け
⚠️ ステージング環境のセキュリティ:ステージング環境にはBasic認証を設定して外部からアクセスできないようにしてください。検索エンジンにインデックスされてしまうと、本番サイトの重複コンテンツになります。また、本番のパスワードをそのままステージングに使用しないことを推奨します。

⚠️ 5. 更新が止まったプラグインの見極め方

危険度チェックポイント

💡 差別化情報:WordPress.orgのプラグイン削除は公開情報
WordPress.orgからプラグインが削除された理由はすぐに公開されないことがあります。削除されたプラグインはwordpress.org/plugins/プラグインスラッグ/で404になります。Patchstack AlertやWordfenceのメールアラートを設定すると、使用中のプラグインに脆弱性が発見された際に即座に通知を受け取れます。

📈 6. CVSSスコアで脆弱性の深刻度を判断する

CVSS(Common Vulnerability Scoring System)は脆弱性の深刻度を0.0〜10.0で数値化したスコアです。WordPressの脆弱性データベースでも採用されています。

CVSSスコア深刻度対応の優先度対応タイムライン目安
9.0〜10.0🔴 Critical(致命的)最優先24時間以内
7.0〜8.9🟠 High(高)優先度高48〜72時間以内
4.0〜6.9🟡 Medium(中)早めに対応1週間以内
0.1〜3.9🟢 Low(低)計画的に対応次回定期メンテナンス時
🚨 Critical(9.0以上)の脆弱性が発見された場合:修正バージョンが存在する場合は即座に更新。修正がリリースされていない場合は該当プラグインを「無効化」してください。機能が失われても攻撃されるよりはるかに良いです。

⚡ 7. 自動更新ポリシーの設計

サイト規模別の推奨自動更新設定

対象個人ブログ・小規模中規模・企業サイトECサイト・大規模
WordPressコア(マイナー)自動更新 ◎自動更新 ◎自動更新 ◎
WordPressコア(メジャー)自動更新 ○手動(テスト後)手動(ステージング必須)
プラグイン自動更新 ○手動(週次確認)手動(ステージング必須)
テーマ自動更新 △(カスタム注意)手動手動
 
// wp-config.php または functions.php での自動更新設定

// WordPressコアのマイナー更新のみ自動(セキュリティパッチ)
define('WP_AUTO_UPDATE_CORE', 'minor');

// functions.php:セキュリティ系プラグインのみ自動更新
add_filter('auto_update_plugin', function($update, $item) {
    // Wordfenceとセキュリティ系プラグインのみ自動更新
    $security_plugins = ['wordfence', 'akismet', 'sucuri-scanner'];
    return in_array($item->slug, $security_plugins) ? true : false;
}, 10, 2);

👨‍💻 8. 開発者向け:セキュアコーディング基礎

カスタムプラグインやテーマを開発する場合に必須の基礎知識です。

WordPressのセキュリティ関数を活用する

// ① データのサニタイズ(入力値の無害化)
$user_input = sanitize_text_field($_POST['username']);
$email = sanitize_email($_POST['email']);
$url = esc_url($_POST['redirect_url']);

// ② データのエスケープ(出力時の安全化)
echo esc_html($user_data);     // HTMLとして出力
echo esc_attr($attribute);     // HTML属性として出力
echo esc_url($url);            // URLとして出力

// ③ ノンス(nonce)でCSRF対策
// フォームに追加:
wp_nonce_field('my_action', 'my_nonce');

// 処理時に検証:
if (!wp_verify_nonce($_POST['my_nonce'], 'my_action')) {
    wp_die('不正なリクエストです');
}

// ④ データベースクエリの安全な実行(SQLインジェクション対策)
global $wpdb;
$safe_query = $wpdb->prepare(
    "SELECT * FROM {$wpdb->posts} WHERE post_title = %s",
    $user_input
);
$results = $wpdb->get_results($safe_query);
💡 セキュアコーディングのゴールデンルール:「すべての入力値を疑う」「出力時は必ずエスケープ」「権限チェックを忘れない(current_user_can())」「直接クエリは使わずprepareを使う」の4原則を守ることで、主要な脆弱性の大半を防げます。

❓ よくある質問(FAQ)

プラグインの脆弱性はどうやって調べますか?
WPScan Vulnerability Database(wpscan.com)またはWordfence Intelligence(wordfence.com/threat-intel/vulnerabilities)で脆弱性情報を確認できます。プラグイン名で検索すると過去の脆弱性履歴と修正バージョンが表示されます。定期的なチェックを習慣にすることを推奨します。
更新が止まったプラグインはすぐに削除すべきですか?
必ずしもすぐに削除する必要はありませんが、①WordPress最新版との互換性が確認されていない、②最終更新から2年以上が経過、③脆弱性が報告されている、のいずれかに該当する場合は削除・代替を推奨します。
有名プラグインでも脆弱性はありますか?
あります。Contact Form 7、WooCommerce、Elementor、Yoast SEOなど人気プラグインでも脆弱性が発見されています。有名・人気が高いほど攻撃者に注目されるリスクもあります。重要なのは、脆弱性が発見されたときに迅速に対応することです。
ステージング環境はどこで作れますか?
エックスサーバー・ConoHa WINGなど主要レンタルサーバーはステージング機能を提供しています。また、WP Staging・Duplicatorプラグインを使うと無料でステージング環境を作れます。重要な更新前は必ずステージングでテストしてから本番に適用してください。
WordPressコア自体の脆弱性はどう対処しますか?
WordPressのセキュリティリリース(x.x.1のようなマイナーバージョン)は自動更新を有効にして即座に適用することを推奨します。メジャーバージョン(6.0→6.1等)はバックアップを取ってからステージング環境でテスト後に適用してください。
← 前のページ
WAF・ファイアウォール設定