プラグインを全部最新にしているのにWordPressが感染した、本当の侵入経路は？

投稿:2026年3月4日

ワードプレス本体やプラグインを全部最新にしているのにWordPressがマルウェアに感染する例もございます。この場合の本当の侵入経路について解説いたします。

この記事の目次

侵入経路１　管理画面への不正なログイン
侵入経路２　テストサイト経由の不正なログイン
侵入経路３　サーバー上の別のサイト経由で感染
侵入経路４　サーバーそのものの脆弱性
侵入経路５　サイトの運営者のPCがウィルスに感染している
侵入経路６　不正取得のプラグインやテーマに最初からマルウェアが含まれている

侵入経路１　管理画面への不正なログイン

ワードプレスがハッキングされ改ざんされる原因の２割はハッカーが管理者権限のパスワードを割り出してログインしてしまう事です。

ハッカーがワードプレスの管理画面にログイン出来てしまいますと、サイトの改ざんや不正なプラグインを勝手にインストールする、ウィルスをアップロードすることなどサーバー上でできることはほぼ何でもできてしまう事になります。

ハッカーは管理者権限のログインパスワードを割り出すために、様々なよく使われるパスワードの辞書を使って何万回もログイン施行を自動で繰り返すブルートフォースアタックと呼ばれる攻撃を行ってきます。
パスワードは、１２文字以上の、ランダムな文字列で半角英数(大文字小文字)記号を一つ以上含むものにしていただくことをお勧めいたします。また、管理者IDと近いパスワードを使うのも危険です。

侵入経路２　テストサイト経由の不正なログイン

上記不正なログインは、テストサイトに関しましても同様に危険があります。テストサイトは、見つかることが無いと思っていても、テストサイトのURLやフォルダを予測して露見してしまったり、検索エンジン経由で存在が分かってしまう事もあります。
テストサイトの管理者権限のパスワードも同様に１２文字以上の、ランダムな文字列で半角英数(大文字小文字)記号を一つ以上含むものにしていただくことをお勧めいたします。

侵入経路３　サーバー上の別のサイト経由で感染

昨今のマルウェアは、サーバー上のフォルダ構造をスキャンして自動で感染を広げるものがあります。サーバー上に親(Root)フォルダを共有している複数のサイトがあった場合、別のサイト経由でマルウェア感染が広がる場合がございます。

この為、サーバー上から不要なサイトを削除の上、サーバー上の全サイトに関しまして、管理者のパスワードの強度を高めたり、アップデートや脆弱性検査の上脆弱性を塞いでおくセキュリティー対策が必要でございます。

サーバー上の全サイトの脆弱性対策やマルウェア検査は下記のプラグインで簡単に行っていただくことが可能です。ご活用いただけましたら幸いです。
【無料】ワードプレス:マルウェアスキャン＆セキュリティープラグイン [マルウェア・ウィルス検出と駆除]

侵入経路４　サーバーそのものの脆弱性

サーバーのOS(Linux)、サーバーの構成ソフトウェア等のより根本的な脆弱性を突かれて、サイトがマルウェア感染する場合もございます。
OSやミドルウェア（Apache、Nginx、PHPなど）には定期的に脆弱性が発見されており、パッチが当たっていない古いバージョンを使い続けていると、攻撃者にその穴を悪用されてサーバー自体への侵入を許してしまうことがあります。
主な対策として以下が挙げられます。
OSおよびソフトウェアの定期アップデート、不要なサービス・ポートの無効化、ファイアウォールの設定、SSH接続の強化　　WAF（Webアプリケーションファイアウォール）の導入、定期的なログ監視・改ざん検知
等となります。

しかし、共用サーバーではこのような対策はサーバー管理会社が行ってくれています。(PHPバージョンやMysqlバージョンのアップデートはサイト運用者が行う必要がある事が多いです)
この為、こういったサーバーそのものセキュリティー対策をサイト運用者が特に注意して行う必要があるのはVPSや、AWS、等のルート権限アクセスが可能でサーバーのソフトウェア構成を自由に行えるタイプのサーバーを使用している場合となります。

侵入経路５　サイトの運営者のPCがウィルスに感染している

極めてまれではあるものの、サイトの運用者のPCがウィルスに感染しており、ローカルPCのテスト環境がマルウェア感染していたり、FTP接続情報等がウィルス経由で漏洩している場合がございます。
サイトの運営者全員のPCのウィルス検査等も最終的に行っていただいたほうが良いかと存じます。

侵入経路６　不正取得のプラグインやテーマに最初からマルウェアが含まれている

有料のテーマやプラグインの認証を解除した不正取得(nulledテーマ・プラグインと言います)されたプログラムをワードプレスサイトに導入されている場合、そのテーマやプラグインに最初からマルウェアが含まれている場合がございます。

※制作会社様がついコスト削減のために請負元に知らせずにnulledテーマ・プラグイン使ってしまっている場合もあります。

このようなnulledプラグインやテーマ含まれるマルウェアも上記マルウェア検査プラグインで検出可能ですので、よろしければご利用ください。

ご参考になりましたら幸いです。

WordPress ワードプレスのマルウェア駆除・セキュリティー対策のご依頼・ご相談はWPドクターまでお気軽にお送りください

著者 WPドクターセキュリティチーム (リーダー吉田僚太)

ハッキングされたワードプレスサイトのマルウェア駆除、セキュリティ対策を年間数百件請け負う。ワードプレスサイトのマルウェア感染により、被害を受けるサイトを多数見てきた経験から、ワードプレスサイトのハッキング被害をなんとか減らしたいとの思いから日本で初めてワードプレスのマルウェア検出プログラムを開発。好評を経て数千回ダウンロードされたことから、その後WPドクターマルウェア検出プラグインにプログラム進化させ、リリース。プラグインは現在数万サイトで利用されている。１００万件を超えるマルウェアファイルの収集分析、その検出パターンの生成、脆弱性データベースの構築など、プラグインの機能や検出力強化を担当している。また個別マルウェア駆除の依頼をより高精度に行うための作業フローの開発・洗練や再感染を防ぐ為のセキュリティー対策方法を日々研究している。

著者の記事一覧(カテゴリーセキュリティ・脆弱性・マルウェア駆除)
Wordpress.org公式アカウント