自社のHPは大丈夫?WordPressに複数の脆弱性が見つかる。
セキュリティに関する団体JPCERT/CCは、CMSの「WordPress」に複数の脆弱性が見つかったとして最新版へのアップデートを呼び掛けたとのことです。
IT mediaの記事はこちらから↓
JPCERT/CCは11月8日、CMSの「WordPress」に複数の脆弱性が見つかったとして最新版へのアップデートを呼び掛けた。影響度を示すCVSS v3のベーススコアは最大6.1。悪用されると、WordPressで運用するWebサイトの閲覧者が攻撃を受けたり、記事投稿者のメールアドレスを盗まれたりする恐れがある。
wordpressと言えば、シェアNO1のHP製作ツールです。多くの企業ウェブサイトでも使われているもので、そのサイトの閲覧者に被害が出る可能性があるということで、
wordpressの6.0.3以降のバージョンでは、こちらの脆弱性は解消しているとのことですので、
以上企業側では、wordpressの最新版への迅速なアップデートが求められますね。
なお、wordpressの最新バージョンへのアップデートでは、事前に必ずバックアップをとってから行うようにしましょう。
HP自体が、うまく動かなくなる可能性もありますので。
WordPressの脆弱性は何が問題か?
『うちは小さいから狙われない』という前提が最大のリスクです。観点は次のとおりです。
| 項目 | 内容 |
|---|---|
| 標的の広さ | 利用が多く、機械的な探索で未更新サイトが無差別に狙われる |
| 拡張のリスク | プラグイン/テーマの脆弱性や放置が侵入口になりやすい |
| 被害の波及 | 改ざん・情報漏えい・踏み台化で、信用低下と復旧コストが生じる |
| 設定不備 | 弱い認証・管理画面の露出・権限過多が侵入を容易にする |
ポイントは、攻撃は規模でなく『隙のあるサイト』を狙うため、放置が最も危険な点です。更新と設定の基本を欠くと、小規模サイトでも被害に至ります。基本対策を運用に組み込むことが、出発点になります。なお最終的には、評判や機能数でなく自社の現状と業務に優先順位を付け、
無理なく続けられる体制に落とし込むことが、投資を成果へ結びつける近道になります。
中小企業はどう守るべきか?
対策は、基本を継続できる運用にすることが重要です。押さえる進め方は次のとおりです。
| 項目 | 内容 |
|---|---|
| 更新徹底 | 本体・プラグイン・テーマを速やかに更新し、未更新を放置しない |
| 構成最小化 | 不要なプラグイン/テーマを削除し、攻撃対象面を減らす |
| 認証強化 | 強固で使い回さない認証+多要素認証、管理画面のアクセス制限 |
| 復旧備え | 定期バックアップと復元手順を用意し、改ざん時に戻せるようにする |
最大のつまずきは、構築後に更新・点検が止まり、既知脆弱性を突かれることです。当社は中小企業のサイト保守・セキュリティを、現状確認から更新・認証・バックアップ運用まで伴走支援しています。基本対策を継続できる運用に組み込むことが、失敗しない要点になります。
なお最終的には、評判や機能数でなく自社の現状と業務に優先順位を付け、無理なく続けられる体制に落とし込むことが、投資を成果へ結びつける近道になります。
WordPress対策チェック
WordPressの脆弱性と対策とは、WordPressの脆弱性リスクと対策のことで、うちは小さいから狙われないという前提が最大のリスクです。
利用が多く機械的な探索で未更新サイトが無差別に狙われ、プラグイン/テーマの脆弱性や放置が侵入口になりやすく、改ざん・情報漏えい・踏み台化で信用低下と復旧コストが生じ、弱い認証・管理画面の露出・権限過多が侵入を容易にします。
攻撃は規模でなく隙のあるサイトを狙うため放置が最も危険で、更新と設定の基本を欠くと小規模サイトでも被害に至ります。
本体・プラグイン・テーマの速やかな更新と未更新の不放置、不要なプラグイン/テーマの削除による攻撃対象面の縮小、強固で使い回さない認証+多要素認証と管理画面のアクセス制限、定期バックアップと復元手順の用意が要点で、
構築後に更新・点検が止まり既知脆弱性を突かれる失敗を避け、基本対策を継続できる運用に組み込むことが要点となります。
以下に、押さえるべき要点とその内容を整理します。
| 項目 | ポイント | 解説 |
|---|---|---|
| 更新 | 放置しない | 本体・プラグイン・テーマ |
| 構成 | 最小化 | 不要な拡張を削除 |
| 認証 | 強化 | 多要素+アクセス制限 |
| 復旧 | 備え | 定期BU+復元手順 |
| 運用 | 継続 | 構築後も点検を続ける |
この記事のよくある質問(FAQ)
本記事に関して、よく寄せられる質問をまとめました。
Q. WordPressはなぜ狙われますか?
A. 利用サイトが多く、プラグイン/テーマを含め脆弱性が見つかりやすいためです。未更新・設定不備のサイトが攻撃の標的になりやすいです。
Q. 放置するとどうなりますか?
A. 改ざん・情報漏えい・マルウェア配布の踏み台化など被害につながり、信用低下や復旧コストが生じます。早期の更新と対策が必要です。
Q. まず何をすべきですか?
A. 本体・プラグイン・テーマの更新、不要な拡張の削除、強固な認証と多要素認証、管理画面のアクセス制限、バックアップが基本対策です。
Q. 中小企業でも対応できますか?
A. できます。更新・認証強化・バックアップ・最小構成という基本を運用に組み込み、難しい監視は保守サービスを活用すれば実効的に守れます。
関連情報・お問い合わせ
法人向けセキュリティソフトの
料金自動一括比較サイトを新しくオープンしました!
c-compe.com⇒
株式会社アーデントは、デジタル化・AI導入補助金の支援事業者を行っております!
アーデントからデジタル化・AI導入補助金を使ってクラウドツールを導入するメリットは以下の通りです。
メリット①対象ツールを2年間、半額、もしくは1/4で利用可!
メリット②会計、経費精算、請求書処理、受発注ツール導入なら、PCやタブレットの購入も補助が受けられ半額!
メリット③補助期間終了後は、公式価格よりお値引き!
メリット④各種IT活用、DX、保守サポートでより貴社のIT化を促進、生産性を向上します!
【弊社取り扱いクラウドツール】
🔹オフィスソフト・グループウェア: Google Workspace※、Microsoft365、desk'nets NEO※
🔹ノーコード業務改善:kintone、Zoho※、楽楽販売、JUST.DB※、サスケworks
🔹コミュニケーション: サイボウズオフィス、Chatwork、LINE WORKS、zoom
🔹会計・経費管理: マネーフォワード、freee、楽楽精算、楽楽明細、楽楽請求、invox
🔹電子契約・文書管理: freeeサイン、クラウドサイン、GMOサイン、Adobe Acrobat
🔹セキュリティ対策: sophos、SentinelOne、ESET、ウイルスバスタークラウド
🔹バックアップ: syscloud、Avepoint
🔹RPA・自動化: RoboTANGO、DX-Suite、Yoom※、バクラクシリーズ
🔹勤怠・労務管理: 勤革時、楽楽勤怠、マネーフォワード
🔹物流・在庫管理: ロジザードZERO
🔹教育・マニュアル作成管理: iTutor、NotePM、leaf
🔹PBX・電話システム: INNOVERAPBX※、MOTTEL※
🔹端末管理:LANSCOPE、clomo
🔹リモートデスクトップ:RemoteOperator在宅
🔹受付ipad:ラクネコ※
🔹タスク管理、その他:Adobe creative cloud、Noota、JOSYS、backlog※
など
※こちらのツールは補助期間終了後の値引不可
また、上記以外のツールも取り扱いできるものが多々ありますので、一度ご相談ください。
デジタル化・AI導入補助金2026の詳細、お問合せはお電話頂くか、以下の記事を御覧ください↓
デジタル化・AI導入補助金お問合せ:03-5468-6097
以下の動画では、採択のポイントや申請にあたっての注意点などを詳しく解説していますので、
あわせてご覧ください!
株式会社アーデント 代表取締役。2006年にオフィス専門不動産会社アーデントを創業。その後、オフィス賃貸仲介、ワークプレイス作りに10年以上携わり、合計500社以上のオフィス移転をサポート。2018年よりクラウドPBXを中心にネットワーク、通信分野を専門に400社以上の電話、ネット環境づくりをサポート。2022年より100以上のクラウドサービスの販売を開始。
IT導入補助金を使って、50社以上にクラウドツールを提供。IT活用による業務改善のDXコンサルを提供。ノーコードツールを使ったExcelやAccessからの基幹システム移行によるDX実績多数。
アマゾンで出版している書籍はこちら!
「AppSheetで作る中小企業の基幹システム」 ~Excel限界からの脱出。GoogleWorkspaceを使って、失敗しない業務アプリ導入を解説~
「Google Workspace完全活用マニュアル」 ~Google Workspaceをフル活用する方法を徹底解説!~
amzn.to/3w5zWfT
「中小法人向け サイバーセキュリティ完全ガイド」~サイバーセキュリティ対策で、特に中小企業が 守るべきポイントを網羅!~
amzn.to/3Y9Nm5n
ぜひチェックしてください!
