なぜWordPressは、AIハッカーに狙われやすいのか

なぜWordPressはAIハッカーに狙われやすいのか

国内Webサイトの4割以上がWordPressで構築されているという事実は、WordPressの優秀さを証明すると同時に、攻撃者にとっての「標準ターゲット」でもあることを意味します。

WordPressを狙う理由は単純です。攻撃パターンを一度学習すれば、何万サイトにも同じ手法を自動展開できるからです。プラグインの脆弱性データベース(CVE)、管理画面のデフォルトURL、よく使われるパスワードパターン——これらはすべて公開情報です。

AIハッカー「Mythos(ミュトス)」はこの知識をすべて学習済みです。URLを見ただけでWordPressと判断し、自動的に脆弱性を探し始めます。「小さいサイトだから大丈夫」は通用しません。Mythosにとって、サイトの規模は関係ありません。

Mythosが最初に確認する3つのポイント

  • WordPressのバージョン(/wp-includes/version.phpやフッターのメタ情報から自動取得)
  • インストール済みプラグインの一覧と既知CVEの照合
  • 管理画面URL(/wp-admin/)へのアクセス可否と認証の強度

これらは「特殊な攻撃」ではなく、AIが秒単位で自動実行するルーティンチェックです。あなたのサイトが今日もスキャンされている可能性は十分にあります。

WordPressに潜む「5つの隠し扉」

WordPressに潜む5つの隠し扉

セキュリティ研究者がWordPressへの侵入事例を分析した結果、被害を受けたサイトの9割以上に以下の5つのうち少なくとも1つが存在していました。

1古いプラグイン・テーマの放置

プラグインやテーマは定期的にセキュリティパッチが公開されます。更新を怠ると、公開済みのCVEを使った攻撃手法がそのまま適用できる状態になります。管理画面に「更新あり」の通知が出ているなら、それは「ここから入れます」という看板と同じです。

対策:月1回以上の更新確認と自動更新の有効化。使っていないプラグインは完全に削除(無効化だけでは脆弱性が残る)。

2弱いパスワード・「admin」ユーザー

WordPressのデフォルトユーザー名「admin」は世界中で使われています。パスワードが「admin」「password」「123456」のいずれかであれば、ブルートフォース攻撃で数秒以内にログインされます

対策:ユーザー名を「admin」以外に変更。パスワードは16文字以上のランダム文字列。Limit Login Attempts等でログイン試行制限を設定。

3XML-RPC の有効化

XML-RPCはWordPressのリモート操作機能ですが、多くのサイトで使われていないにもかかわらず有効のままです。攻撃者はXML-RPCを使って1回のリクエストで数百のパスワードを試すことができ、ブルートフォース制限を回避できます。

対策:XML-RPCを使用していなければ無効化する(Disable XML-RPC等のプラグインで簡単に対応可能)。

4放置されたテーマ

有効化していないテーマでも、WordPressにインストールされていれば脆弱性の標的になります。特に長期間更新されていないテーマは既知の脆弱性を抱えたままになっているケースが多く、ファイルインクルージョン攻撃の入り口になります。

対策:使用していないテーマはすべて削除。デフォルトテーマ(Twenty Twenty等)も使わないなら削除。

5権限設定ミス

WordPressのファイルパーミッション(wp-config.phpのパーミッションが777になっている等)や、管理者権限を持つユーザーが必要以上に多い状態は、侵入後の被害拡大を助長します。攻撃者は最初の突破口さえ見つければ、権限設定の甘さを利用して全サイトを掌握します。

対策:wp-config.phpのパーミッションは400または440に設定。管理者ユーザーは最小限に。定期的なユーザー棚卸しを実施。

放置すると、実際に何が起きるか

WordPressの脆弱性を放置した場合のリスク

「まだ何も起きていないから大丈夫」——これが最も危険な思考パターンです。WordPressへの攻撃は、被害が表面化するまでに平均200日以上かかることが知られています。その間、静かに侵害が進みます。

シナリオ①:顧客情報の流出

ECサイトや会員制サービスの場合、データベースから顧客の氏名・メールアドレス・購買履歴・決済情報が盗み出されます。気づいたときには数千〜数万件の情報がダークウェブで販売されています。対応費用は平均3〜5億円、中小企業では事業継続が困難になるケースも。

シナリオ②:サイト改ざん・フィッシングページへの転用

攻撃者があなたのサーバーに侵入すると、サイトのコンテンツを改ざんしてフィッシング詐欺ページを埋め込みます。あなたのサイトを信頼して訪問したユーザーが被害を受け、あなたの会社の信用が一夜にして失墜します。Googleのセーフブラウジングにブラックリスト登録されると、検索結果から排除されます。

シナリオ③:SEOスパム・ランサムウェア

サーバーに不正なファイルを設置され、スパムメールの送信元として利用されたり、内部ネットワーク全体にランサムウェアが展開されたりします。製造業での事例では、工場の生産ラインが停止し、推定1.2億円の損失が発生しました。

「何も起きていない」は「気づいていない」だけかもしれない

セキュリティインシデントの平均検知時間は約200日。その間、攻撃者はゆっくりと情報を収集しています。「大丈夫」を確認する手段がなければ、それは「気づいていない」と同義です。

Custosで、今すぐ解決する

CustosでWordPressの脆弱性を解決する

5つの隠し扉を自力でふさぐには、知識・時間・継続的な監視が必要です。しかし多くの中小企業には、専任のセキュリティエンジニアも、毎月確認する仕組みもありません。

SELF-CONSULTINGが提供する「Custos(クストス)」は、この問題をすべてAIが自動で解決します。

URLを入力するだけ

5つの隠し扉を含む65項目をAIが自動スキャン。専門知識不要。

危険度レベルで優先度を整理

Lv.1〜5の5段階で「何を先に直すか」が一目でわかる日本語レポート。

修正ガイド付き

「何を、どう直すか」の具体的なガイドと修正コード例(詳細診断¥6,980)。

毎月自動で継続監視

月額¥12,800で毎月自動スキャン+CVEアラート。「放置ゼロ」を仕組みで実現。

Mythosは今この瞬間も、あなたのWordPressサイトに5つの隠し扉がないか探し続けています。Custosを使って、先手を打ちましょう。初回スキャンは無料です。

WordPressサイトを今すぐ無料診断する →