放置HPがサイバー攻撃の標的に!中小企業が狙われやすい理由
放置HPがサイバー攻撃の標的に!中小企業が狙われやすい理由
「ホームページを何年も更新していない」——心当たりはありませんか? 実は今、そうした放置状態のHPがサイバー攻撃の格好の標的になっています。WordPressサイトの乗っ取り被害が後を絶たず、個人事業主のサイトが偽ブランド通販サイトに書き換えられるケースも実際に起きています。
なぜ中小企業が狙われるのか。理由はシンプルで、大企業より対策が手薄だからです。Patchstack社の脆弱性統計によると、WordPressサイトへの攻撃原因の大半はプラグインやテーマの脆弱性。つまり、プラグインを更新せず放置しているだけで、攻撃者に入口を提供していることになります。
この記事では、実際の乗っ取り事例と、すぐに実行できる対策を解説します。
直近の乗っ取り事例:個人サイトが偽通販に変わった衝撃
note.comに掲載された実例では、WordPressサイトが乗っ取られ、偽のブランド通販ページに改ざんされていました。サイトオーナーが異変に気づいたきっかけは、アクセス数の不自然な急増。調べてみるとマルウェアに感染しており、復旧に数日を要したとのことです。
こうした被害はSNSでも多数報告されています。共通しているのは、長期間更新を放置していたサイトが狙われているという点です。
なぜWordPressサイトが狙われるのか
WordPressは世界のWebサイトの約4割で使われているHP作成ツールです。利用者が多い分、攻撃者にとっても「効率よく狙える対象」になっています。
特に危険なのがプラグイン(拡張機能)の脆弱性です。WordPressの便利さはプラグインで機能を追加できる点にありますが、そのプラグインにセキュリティ上の欠陥があると、そこが攻撃の侵入口になります。Patchstack社の統計では、WordPress関連の脆弱性の大半がプラグインとテーマに起因しています。
中でも要注意なのが、開発者が更新を放棄した古いプラグインです。脆弱性が見つかっても修正パッチが出ないため、攻撃者にとっては開きっぱなしの裏口と同じ。こうしたプラグインを入れたまま放置しているサイトは少なくありません。
今すぐできる3ステップ強化法:非IT経営者でも簡単!
高額なセキュリティ製品は不要です。以下の3つを習慣にするだけで、リスクは大幅に下がります。
ステップ1:毎日ログインして異常チェック
- WordPress管理画面(wp-admin)にログイン。
- ダッシュボードで「更新」タブを確認。赤い警告が出ていないかチェック。
- アクセスログ(プラグインで簡単表示)で不審IPを確認。
毎日が難しければ、最低でも週に1回は確認しましょう。異変に早く気づけるだけで、被害を最小限に抑えられます。
ステップ2:WordPressとプラグインの更新方法
操作は簡単です。管理画面の「更新」ページから、ボタン1つで実行できます。
- 管理画面「更新」→「すべてのプラグインを今すぐ更新」をクリック。
- 使っていないプラグインは「無効化」ではなく「削除」する。無効化だけではファイルが残り、脆弱性も残ります。
- 最終更新が1年以上前のプラグインは、代替を探して入れ替えを検討する。
脆弱性が公開されると、攻撃者は数時間以内にスキャンを始めるとも言われています。更新は「気づいたらすぐ」が鉄則です。
ステップ3:バックアップを自動化
バックアップとは、HPデータをコピーして万一の復旧用に保存することです。ただし、WPVivid Backupプラグインに重大脆弱性(CVE-2026-1357)があるので注意(詳細)。
- 信頼できるプラグイン(UpdraftPlusなど)で週1自動バックアップ設定。
- 外部ストレージ(Google Drive連携)へ保存。
2026年新脅威:AI悪用マルウェアに備える多層防御
2026年に入り、AIを悪用したサイバー攻撃が話題になっています。従来のウイルス対策ソフトでは検知しにくい巧妙なマルウェアや、本物そっくりのフィッシングメールが増えています。
こうした攻撃への追加対策として有効なのがWAF(Web Application Firewall)です。WAFは、Webサイトへの不正なアクセスを自動でブロックする仕組みで、レンタルサーバーの標準機能として無料で使えるケースも多いです(例:エックスサーバー、ConoHa WING等)。まずは利用中のサーバーでWAFが有効になっているか確認してみてください。
NGポイント:やってはいけない放置運用
- 「作ったきり何年も触っていない」 — 古いバージョンの脆弱性は攻撃者にとって既知の侵入口です。
- 「使っていないプラグインを無効化のまま残している」 — ファイルが残っていれば脆弱性も残っています。削除しましょう。
- 「バックアップを一度も取っていない」 — 乗っ取られた場合、ゼロから作り直しになります。復旧費用は数十万円に上ることも。
「小規模なサイトだから狙われない」と思いがちですが、むしろ逆です。セキュリティの甘い中小企業サイトを踏み台にして、取引先の大企業に侵入する「サプライチェーン攻撃」が増えています。自社の問題だけでは済まない可能性があるのです。
格安HP保守のアウトソースで安心運用
「自分でやる時間がない」という方には、HP保守サービスの利用も選択肢です。月額数千円から、WordPress本体やプラグインの更新、バックアップ、監視を専門家が代行します。
マイクロシステムのHP制作・保守サービス
HP制作から保守運用まで、月額11,000円(税込)でサーバー・ドメイン・更新サポートをまるごとお任せいただけます。初期費用55,000円〜のライトプランから、写真撮影付きのスタンダードプランまでご用意しています。
料金プラン・サービス内容を見る →
| 運用方法 | 月費用 | リスク低減 |
|---|---|---|
| 完全放置 | 0円 | 乗っ取りリスク大 |
| 自力3ステップ | 0円 | 中程度の低減 |
| 格安保守 | 3,000〜10,000円 | 大幅低減+24時間監視 |
乗っ取りが発生してからの復旧費用(数十万円〜)と比べれば、月数千円の保守費用は保険として十分見合う投資です。
まとめ:乗っ取りを防ぐチェックリスト
まずは今日、以下だけ確認してみてください。
- □ WordPress管理画面にログインし、更新の通知が来ていないか確認
- □ 使っていないプラグインがあれば削除
- □ バックアップの設定状況を確認(未設定ならUpdraftPlus等を導入)
- □ レンタルサーバーのWAF設定が有効か確認
「うちのサイトは大丈夫?」と不安な方は、マイクロシステムにご相談ください。全プラン月額11,000円(税込)で、サーバー管理・WordPress更新・ドメイン管理をまとめてサポートします。料金プランの詳細はこちら。
※本記事の情報は2026-02-18時点のものです。
参考情報:
