WordPressはウェブのほぼ半分を支えており、インターネット上で最もターゲットを絞ったプラットフォームとなっています。2025年には、脅威の状況が変化し、従来のセキュリティ戦略の多くが不十分になった。脆弱性の数は急増し、悪用タイムラインは数時間に短縮され、攻撃者はクリーンアップを生き延びるためにますます高度なマルウェアを展開しました。
この概要は2025年のセキュリティデータを活用し、WordPressおよびWooCommerceのサイトオーナーが自社のサイトが直面する実際のリスクと、そのギャップを埋めるために取れる実践的な対策を理解するのに役立ちます。
セキュリティ研究者は2025年にWordPressエコシステム全体で11,334件の新たな脆弱性を特定し、前年から42%増加しました。そのうち4,124件は積極的な緩和が必要な深刻なもので、1,966件は大規模な自動悪化の可能性が高いことを示す高い深刻度評価を受けました。
比較すると、2025年にWordPressで発見された高重大度の脆弱性は過去2年間の合計よりも多いです。これは徐々に進む傾向ではありません。これは攻撃者のWordPressエコシステムへの関心が大きく加速したことを示しています。
プラグインは新たに報告された脆弱性の91%を占めています。テーマは残りの9%を占めていました。WordPress Core自体は6件の問題しか報告していませんが、すべて低優先度でした。
この配布は、コアソフトウェアが問題ではないという単純な現実を強調しています。リスクはその上に重ねられたサードパーティのコンポーネントにあり、ほとんどのWordPressサイトはそれらを数十台稼働させています。
いいえ。プレミアムコンポーネントは無料製品よりも危険な盲点を持つことが多いです。
セキュリティ研究者は、Envatoを通じて配布されるプレミアムマーケットプレイスのコンポーネントを集中的に分析しました。その発見は重要でした。
その理由は、プレミアムプラグインがより無頓着に作られているからではありません。それはセキュリティ研究者が有料ソフトウェアへのアクセスが限られているため、コードを審査する目が少ないからです。監視が低いからといってリスクが低くなるわけではありません。それは既存のリスクに対する認識が低下することを意味します。
たった54%です。2025年には、報告された脆弱性の46%がプラグイン開発者によって公表される前に修正されていませんでした。つまり、脆弱性の詳細が公開され、多くの場合、サイト所有者がパッチを入手する前に攻撃者に即座に利用可能になっていたのです。
プラグインのアップデートに主なセキュリティ対策として頼るだけでは一般的に不十分であり、開示された脆弱性のほぼ半数にはパッチが提供されていません。
ほとんどのアップデートスケジュールよりも速いです。最も標的が大きくなった脆弱性では、公開から積極的な悪用までの加重中央値時間は5時間でした。
全ての高影響脆弱性の約半数が、開示から24時間以内に悪用されていました。この期間は、ほとんどのサイト管理者が問題を知らないか、まだ利用可能なパッチを適用する機会がなかった時期をカバーしています。
脆弱性開示後の最初の24時間は、WordPressサイトにとって最もリスクの高い時期です。自動緩和策がなければ、ほとんどの現場はまさにこの期間に露出します。
Broken Access Controlは2025年に悪用された脆弱性カテゴリーのトップにランクインしました。このカテゴリーは、攻撃が通常の認証済みユーザーの行動を模倣するため、防御が特に難しいです。従来のウェブアプリケーションファイアウォールがキャッチするような明らかなインジェクション文字列や歪んだリクエストはありません。
その他、大きく悪用された脆弱性クラスには以下が含まれます:
WooCommerce関連プラグインは、最も標的となったトップ10リストに入っており、2023年のWooCommerce Payments特権エスカレーション脆弱性も含まれており、未修正のインストールに対して依然として積極的に標的となっていました。
効果が足りません。2025年に複数のホスティングプロバイダーで実施されたペネトレーションテストでは、内部WAFやCloudflareを含む標準的な防御設定では、WordPressの脆弱性の試みはわずか26%しかブロックできなかったことがわかりました。具体的には、既知の脆弱性が悪用された場合、ブロック率は12%に低下しました。
性能はホスティング環境によって大きく異なり、これは主に内部WAFルールの設定によるものでした。汎用WAFルールはWordPress特有でない攻撃に対してはまずまずの性能を発揮しますが、実際のエクスプロイト活動の大部分を占めるWordPress固有の脆弱性クラスとは相性が悪いです。
2025年には、侵害後の行動はより複雑になり、是正が困難になりました。世界中のホスティングインフラで数十億件のマルウェア感染を分析した結果、攻撃者がサイトに侵入した後の行動パターンに明確な変化が見られました。
攻撃者は単独の悪意あるファイルよりも注入されたファイルをますます好む傾向があります。インジェクトファイルとは、悪意のあるコードを含むように改変された正当なWordPressのコアファイル、プラグインファイル、またはテーマファイルのことです。ベースファイルが正当であるため、削除ベースのスキャンツールは一貫性を欠いたり、完全に見落としたりします。
注入されたマルウェアを除去するには、悪意のあるスニペットを特定し、それ以外は有効なファイルから徹底的にクリーンアップする必要があります。ファイル自体を削除するとサイトが壊れます。この区別は、修復ツールの運用方法に意味のある変化を強いています。
はい。悪意のあるファイルアップロード活動は2025年11月と12月にほぼ3倍に増加しました。この急増は偶然ではありません。第4四半期はピークの消費者トラフィックとIT人員削減を組み合わせ、攻撃者が即時の検知や対応の可能性を抑えて活動できる環境を作り出しています。WooCommerceの店舗オーナーが活発なホリデープロモーションを展開している場合、最もリスクの高い時期に営業しており、対応できる内部リソースが最も少ないことが多いです。
最も一般的なマルウェアキャンペーンは共通の設計目標を持っていました。それは、できるだけ長く検出を避けることだった。特に広範囲に見られた回避パターンは3つありました。
選択的コンテンツ配信
日本のSEOスパム、jgalls、Parrot TDSなどのキャンペーンは、依頼者によって異なるコンテンツを提供します。検索エンジンクローラーは、ランキング操作のためにキーワードで大量のスパムを受け取ります。人間の訪問者はフィッシングページや不正な店舗にリダイレクトされます。サイトの所有者やスキャナーは通常、クリーンなコンテンツを目にします。感染は、顧客が苦情を言い始めるか、オーガニック検索トラフィックが減少するまでは目に見えません。
Parrot TDSは2025年にこの技術をさらに拡張し、OpenAIやGoogleのものを含むAIトレーニングクローラーを検出しました。クリーンなコンテンツはクローラーに提供され、悪意のあるリダイレクトは人間の訪問者をリダイレクトし続けているため、自動監査による検出はさらに信頼性を失っています。
メモリ常駐持続性
Lock360マルウェアファミリーは、ファイルを保存するのではなく、サーバーメモリ上で直接悪意のあるコードを実行します。管理者がindex.phpや.htaccessなどの感染ファイルをクリーンアップすると、メモリ常駐プロセスは即座に悪意のあるコードをそのファイルに書き換えます。サポートチームはしばしば、基盤となる記憶プロセスが終了するまでクリーンアップと再感染の連続的なサイクルに陥ることがあり、多くの標準的なスキャンツールでは対応できないことになります。
アップローダーインフラ拡張
2025年6月にはアップローダーのスクリプト活動量がほぼ倍増し、年末まで高水準を維持しました。アップローダーは、攻撃者が攻撃者に追加のペイロードを自由に侵害されたサイトに展開できるツールです。彼らの持続的な増加は、一度きりの搾取ではなく、持続的なアクセスへの戦略的転換を示しています。1つの感染から除去されたサイトは、清掃を生き延びた休眠中のアップローダーによって再感染されることがあります。
いくつかの傾向が収束しつつあります WordPressのセキュリティ より複雑で、軽くはない。
AI支援開発はカスタムプラグインの生産を加速させています。代理店はオンデマンドプラグイン機能を生成し、Reactで構築したAI生成フロントエンドを展開し、WordPressをバックエンドCMSとして使用しています。これにより、従来のコア、プラグイン、テーマの範囲をはるかに超えて攻撃対象が拡大されます。カスタムコードされたコンポーネント、JavaScriptパッケージ、PHP依存関係は、標準的なWordPressスキャンツールでは評価できないセキュリティリスクをもたらします。
同時に、AIは攻撃者が自律的に脆弱性を発見し悪用する障壁を下げています。サイトをより速く構築するために使われる同じツールは、その弱点を見つけて悪用するためにも使われています。
規制面では、EUサイバーレジリエンス法が商用WordPressプラグインベンダーに対し、欧州ユーザーにソフトウェアを配布するための法的義務として正式な脆弱性開示プログラムの設立を推進しています。ほとんどのプラグイン開発者は、現在大量のセキュリティレポートを管理するための内部リソースを持っていません。このギャップは脆弱性の特定とパッチの利用可能性の間に摩擦を生み、2025年の悪用データに基づけばすでに大きなリスクを伴っています。
2025年のデータは、WooCommerceストアを運営するすべての人にいくつかのことを明確に示しています。
WordPressのセキュリティの基本は変わっていません。ソフトウェアを最新の状態に保ち、プラグインの拡散を抑え、強力な認証情報を使うことです。変わったのは、これらの対策だけではもはや十分ではないということです。
搾取の時間軸は数時間に圧縮されています。マルウェアは標準的なクリーンアップを乗り越えるように設計されています。プレミアムプラグインには隠れたリスクがあります。そして、AI生成のコンポーネントがスタックに加わるにつれて、典型的なWordPressサイトの攻撃対象は拡大しています。
2026年の効果的なWordPressセキュリティには、開示から数時間以内に自動で有効化される脆弱性緩和、注入されたコードやメモリ上の脅威を特定できるサーバーレベルのマルウェア検出、そして管理パネル経由でインストールされたものもカスタム開発で生成されるサイト上のすべてのコンポーネントの明確な可視化が必要です。
セキュリティを積極的かつ継続的なプロセスとして扱うサイトは、何か問題が起きた後に定期的な清掃に頼るサイトよりもはるかに有利な立場にあります。
