2026年3月、WordPressセキュリティの調査会社Patchstackが衝撃的なレポートを公開しました。2025年に発見されたWordPressの脆弱性は11,334件──前年比42%増という過去最多の数字です。
さらに深刻なのは、脆弱性の96%がプラグインに起因しているという事実。つまり、プラグインの管理を怠ることは、自社サイトの玄関を開けっ放しにしているのと同じです。
なぜプラグインが狙われるのか
WordPressのコア(本体)は、Automattic社の専任チームが常に監視・修正しています。一方、プラグインは個人開発者や小規模チームが開発していることが多く、セキュリティ対応のスピードにばらつきがあります。
攻撃者はこの「隙間」を狙います。Patchstackのレポートによれば、脆弱性が公開されてから5時間以内に攻撃が始まるケースも確認されています。
中小企業が今日からできる5つのプラグイン管理術
1. 使っていないプラグインは「無効化」ではなく「削除」
無効化しただけのプラグインでも、脆弱性があればサーバー上のファイルを直接攻撃されます。使っていないプラグインは完全に削除してください。
2. プラグインの数を20個以下に抑える
プラグインが多いほどリスクは増加します。機能が重複するプラグインを整理し、本当に必要なものだけを残すことが最も効果的なセキュリティ対策です。
3. 自動更新を有効にする
WordPress管理画面の「プラグイン」→各プラグインの「自動更新を有効化」をクリックするだけです。ただし、更新前のバックアップ体制が整っていることが前提です。
4. 開発が停止したプラグインを特定する
WordPress公式ディレクトリで「最終更新日」を確認してください。1年以上更新されていないプラグインは代替品への乗り換えを検討しましょう。
5. 脆弱性情報を定期的にチェックする
Wordfenceの週次レポートによると、2026年3月第1週だけで201件の新しい脆弱性が報告されています。月に1回はWordfence脆弱性データベースで自社プラグインをチェックしましょう。
「自分で管理する時間がない」という方へ
プラグインの管理は地味ですが、怠ると取り返しのつかない被害につながります。社内にリソースがない場合は、WordPress保守サービスの活用が現実的な選択肢です。
当社のWordPress保守サービス「WP365」では、プラグインの更新管理・脆弱性監視・バックアップを月額制で提供しています。まずは無料セキュリティ診断で現状をチェックしてみてください。
