この記事でわかること
「サイトは普通に表示されているから問題ない」——そう考えて、WordPressを何年も更新せず使い続けていませんか。古いWordPressは、表面上は動いていても、内部では脆弱性が蓄積し続けています。乗っ取り・改ざん・突然の停止といった被害は、放置期間が長いほど起こりやすくなります。本記事では、古いWordPressを放置すると何が起きるのか、更新かリニューアルかをどう判断するか、安全に進める方法を整理します。
「動いている」と「安全」は違う
古いWordPressを放置している多くの方が、「表示されているから問題ない」と考えています。しかし「動いていること」と「安全であること」は全く別の話です。
WordPressは世界のWebサイトの約4割で使われている、世界で最も普及したCMSです。普及している分、攻撃者にとって最も効率の良い標的でもあります。攻撃は人間が手作業で行うのではなく、脆弱性のあるサイトを自動で探して攻撃するプログラムによって、24時間休みなく行われています。
表示されている裏側で、古いWordPressは既知の脆弱性を抱えたまま放置されている状態です。攻撃者はその脆弱性を狙っています。「今まで何も起きていない」のは安全の証明ではなく、たまたま問題が表面化していないだけかもしれません。
古いWordPressで起きる具体的な被害
古いWordPressが攻撃を受けると、以下のような被害が発生します。いずれも事業に直接的な打撃を与えるものです。
| 被害 | 内容 | 事業への影響 |
|---|---|---|
| サイト改ざん | トップページや記事が書き換えられる、不正なコンテンツが埋め込まれる | 信用失墜・ブランド毀損 |
| 情報漏洩 | 会員情報・問い合わせ内容・決済情報などが流出する | 損害賠償・信用失墜・法的責任 |
| マルウェア配布の踏み台 | サイト訪問者にウイルスを感染させる配布元にされる | 加害者になる・Googleにブラックリスト登録される |
| スパムメールの送信元 | サーバーを乗っ取られ、大量のスパムメール送信に悪用される | ドメインの評価失墜・メール不達 |
| サイト停止 | 攻撃や乗っ取りでサイトが表示できなくなる | 機会損失・復旧コスト |
| 検索順位の下落・除外 | 改ざんを検知したGoogleが警告表示・検索結果から除外する | 集客の喪失・回復に長期間 |
脆弱性の大半はプラグイン・テーマから
WordPressの脆弱性について、押さえておくべき重要な事実があります。報告される脆弱性の大半は、WordPress本体ではなくプラグインやテーマに起因しています(各種セキュリティ調査で、9割前後という数字が共通して示されています)。
これが意味するのは、本体だけを新しく保っていても安全ではないということです。
- 更新が止まったプラグイン:開発者がメンテナンスをやめたプラグインは、脆弱性が見つかっても修正されません。使い続けるほど危険になります
- 長年使っている古いテーマ:サポートの切れた市販テーマや、古い自作テーマも脆弱性の入口になります
- 使っていないプラグインの放置:無効化しただけで削除していないプラグインも、攻撃対象になり得ます
古いWordPressサイトでは、本体だけでなく、長年放置されたプラグイン・テーマが何層にも脆弱性を抱えていることが少なくありません。プラグインを多用しているサイトほど、このリスクは高くなります。
放置すると「ある日突然動かなくなる」理由
古いWordPressのリスクは、セキュリティだけではありません。ある日突然サイトが動かなくなるリスクもあります。原因はPHPです。
WordPressはPHPというプログラム言語で動いています。このPHPには明確なサポート期限があり、サーバー会社は古いPHPを順次廃止していきます。サーバーのPHPがバージョンアップされると、それに対応していない古いWordPress・テーマ・プラグインは、エラーを起こしたり動かなくなったりします。
| 起きること | タイミング |
|---|---|
| サーバー会社がPHPの古いバージョンを廃止 | サーバー会社の都合で予告される(自社で制御できない) |
| PHPが上がり、古いWordPressがエラーを起こす | PHP切り替えのタイミングで突然 |
| メールフォームが動かなくなる | 同上。問い合わせを取りこぼす |
| 管理画面に入れなくなる | 同上。更新作業自体ができなくなる |
危険度セルフチェック
自社のWordPressサイトの危険度を確認してください。「はい」が多いほど、リスクが高い状態です。
- WordPress本体を1年以上更新していない
- プラグインの更新通知が出たまま放置されている
- 更新が止まった(最終更新が古い)プラグインを使っている
- 使っていないプラグイン・テーマが無効化されたまま残っている
- PHPのバージョンを確認したことがない、または古いまま
- バックアップを取っていない、または取得状況が分からない
- サイトを作った制作会社と今は連絡を取っていない
- セキュリティ対策(不正ログイン対策など)をしているか分からない
3つ以上当てはまる場合、サイトはリスクの高い状態にあると考えられます。
自社サイトの危険度を確認したい方へ
WordPress・PHPのバージョン、プラグインの状態、セキュリティ対策の有無——現状の診断からご相談いただけます。「制作会社と連絡が取れない」「何が古いのか分からない」状態でも問題ありません。
更新で対応できるか、リニューアルが必要か
古いWordPressへの対応は、大きく「更新(アップデート)」と「リニューアル(作り直し)」の2つに分かれます。どちらが適切かは、放置の度合いによって変わります。
| 状態 | 適した対応 | 理由 |
|---|---|---|
| 本体・プラグインが比較的新しく、放置期間が短い | 更新で対応 | 段階的にアップデートすれば現行環境に追いつける |
| 数年放置、本体・テーマ・プラグイン・PHPがいずれも古い | リニューアルを検討 | すべてを一気に更新すると各所で不具合が出る可能性が高く、作り直しの方が確実で結果的に低コストなことも |
| 更新が止まったプラグインに依存している | 代替手段の検討が必要 | そのプラグインが新環境で動かない場合、機能の作り直しや代替が必要になる |
「更新」は一見安く済みそうに見えますが、長年放置したサイトを無理に更新すると、更新の途中でサイトが壊れ、復旧に手間取るケースがあります。放置期間が長い場合は、リニューアルの方が安全で、長期的なコストも抑えられることがあります。どちらが適切かは、現状を診断した上で判断する必要があります。
更新や引き継ぎを制作会社に依頼したい場合は、WordPressの保守・引き継ぎの記事も参考になります。
安全に進めるための手順
古いWordPressへの対応は、いきなり更新ボタンを押すのではなく、手順を踏むことが重要です。誤った進め方は、サイトを壊すリスクを高めます。
- 1
まずバックアップを取る
何をするにも、最初に現状のバックアップ(サイトデータとデータベース)を取得します。更新や作業で問題が起きても、元に戻せる状態を確保することが大前提です。バックアップなしの更新は危険です。
- 2
現状を把握する
WordPress・PHPのバージョン、使用しているプラグイン・テーマ、それぞれの更新状況を確認します。何がどれだけ古いのかを把握することで、更新で済むかリニューアルが必要かの判断材料になります。
- 3
テスト環境で検証する
本番サイトでいきなり更新するのではなく、コピーしたテスト環境で更新を試し、問題が出ないかを確認します。本番でのトラブルを避けるための重要なステップです。
- 4
本番反映と動作確認
テストで問題がなければ本番に反映し、表示・問い合わせフォーム・各機能が正常に動くかを確認します。問題があれば、バックアップから戻せる体制を維持しておきます。
これらの手順は専門知識を要する部分があります。特に長年放置したサイトの更新は、想定外の不具合が起きやすいため、不安がある場合は専門の制作会社に診断・対応を依頼することをお勧めします。
あわせて読まれています
よくある質問
何年も更新していませんが、今まで何も問題が起きていません。本当に危険なのですか?
「今まで問題がなかった」ことは「これからも安全」を意味しません。攻撃は自動化されており、脆弱性のあるサイトは常に探索されています。たまたまこれまで標的にならなかっただけで、脆弱性を抱えたまま運が続いている状態とも言えます。また、被害は乗っ取りだけでなく、サーバーのPHP更新で突然サイトが動かなくなる形でも起こります。問題が起きてからでは復旧コストが高くつくため、起きる前の対応をお勧めします。
自分でWordPressを更新しても大丈夫ですか?
放置期間が短く、バックアップを取った上で慎重に進めるなら、自分で更新できる場合もあります。ただし、長年放置したサイトを一気に更新すると、テーマやプラグインとの互換性が崩れてサイトが壊れることがあります。特に本体・PHP・プラグインがいずれも大幅に古い場合は、更新の順序や互換性の確認に専門知識が必要です。不安がある場合や重要なサイトの場合は、バックアップを取った上で専門家に相談することをお勧めします。
古いプラグインを使っていますが、便利なので変えたくありません。
更新が止まったプラグインは、便利であっても脆弱性のリスクを抱え続けます。まず、そのプラグインが現在もメンテナンスされているか(最終更新日)を確認してください。更新が止まっている場合は、同等の機能を持つメンテナンスされたプラグインへの乗り換えや、機能の作り直しを検討すべきです。「便利だから」という理由でリスクを放置すると、いずれそのプラグインが新環境で動かなくなり、結局対応を迫られます。
制作会社と連絡が取れず、更新方法も分かりません。どうすればいいですか?
サーバーと管理画面のログイン情報が確保できれば、別の制作会社が現状を診断し、対応することが可能です。まずはログイン情報やサーバー情報を探してください。これらが分からない場合でも、ドメインやサーバーの契約状況から辿れることがあります。古いサイトの引き継ぎや、制作会社と連絡が取れない場合の対応については、WordPressの保守・引き継ぎの記事もあわせてご覧ください。
古いWordPress、放置する前にまず現状診断を
「何年も更新していない」「制作会社と連絡が取れない」「更新すべきか作り直すべきか分からない」——現状の診断から、更新・リニューアルの判断、安全な進め方までご相談いただけます。問題が起きる前の対応が、最もコストを抑えられます。
投稿者プロフィール
- EC-CUBE・WordPressを中心に、サイト構築やカスタマイズを担当。
要件に応じた柔軟な実装を心がけています。
Movable Type案件の増加に伴い、対応領域拡大のためスキル強化中です。
ネイビー色が好きで「navy」という名前をよく使いますが、海軍好きと勘違いされることも。
でも軍モノ古着は好きです。
