11,334件——2025年のWordPress脆弱性の全貌
セキュリティ企業Patchstackが公開した「State of WordPress Security 2025」によれば、2025年に報告されたWordPressエコシステムの脆弱性は11,334件に達した。2024年の7,966件から42%増という加速ぶりだ。
しかし最も重要な数字は内訳にある。この11,334件のうち、WordPress本体(コア)の脆弱性はわずか7件。残りの96%はプラグイン、4%はテーマに起因する。WordPress自体は堅牢だが、その上に載るエコシステムが崩壊しつつある。
週333件——2026年のペースはさらに異常
2026年に入り、状況はさらに悪化している。セキュリティ企業Wordfenceの週次レポートによれば、2026年3月の1週間だけで201件の新規脆弱性が記録された。年間換算では週333件ペースとなる。
具体的なCVEを見てみよう。
- CVE-2026-1357(WPvivid Backup & Migration):90万サイトにインストールされたバックアッププラグインに、認証なしで任意ファイルをアップロードできるRCE脆弱性。CVSS 9.8。
- CVE-2026-1492(User Registration & Membership):認証バイパスにより管理者権限を奪取可能。CVSS 9.8。
- CVE-2026-0740(Ninja Forms File Upload):5万サイトに影響。認証なし・パスワードなしで悪意あるPHPファイルをアップロード可能。
- CVE-2026-4432(WooCommerce):ECプラットフォームの根幹に影響するクリティカル脆弱性。
いずれもCVSS 9.0超のクリティカル。しかも43%の脆弱性は認証なしで悪用可能だ。
5時間——パッチが間に合わない構造
Patchstackのデータによれば、脆弱性が公開されてから最初の自動exploitが稼働するまでの中央値はわずか5時間。ほとんどのサイト運営者が脆弱性の存在を知る前に、攻撃は始まっている。
さらに深刻なのは、2024年に公開されたWordPress脆弱性の約35%が、2025年時点でもパッチ未提供だったことだ。プラグイン開発者が放置している、あるいは開発自体が停止しているケースが3分の1を超える。
サプライチェーンという構造的病巣
問題の根源は、WordPressのプラグインエコシステムが事実上のサプライチェーンであるにもかかわらず、その管理体制が脆弱なことにある。
2026年に入り、以下のようなサプライチェーン攻撃が確認されている。
- プラグイン買収攻撃:攻撃者が既存の信頼されたプラグインを購入し、WordPress.orgのコミット権限を継承した上で悪意あるコードを注入。WordPress.orgにはプラグインの所有権移転を検知・審査する仕組みが存在しない。
- Gravity Forms侵害:100万インストールのプレミアムプラグインが、ベンダーのインフラ侵害を通じてバックドアを仕込まれた。
- DebugMaster Pro偽装:2026年9月、Sucuriの調査で「デバッグプラグイン」を装った高度なバックドアが発見された。
WordPressのプラグインは、npmやPyPIと同様のオープンなパッケージレジストリだ。しかしnpmにはprovenance attestation(来歴証明)があり、PyPIにはTrusted Publisherがある。WordPress.orgにはそのいずれもない。
なぜWordPressは構造的に危険なのか
個々のCVEよりも重要なのは、WordPressのアーキテクチャそのものが攻撃面を最大化する構造になっている点だ。
- PHP実行環境が公開面に直接露出:WordPressはリクエストのたびにPHPを実行し、データベースに接続する。攻撃者にとっては、Webリクエスト1つでサーバーサイドのコード実行に到達できることを意味する。
- 管理画面が同一ドメイン上に存在:/wp-adminと/wp-login.phpは、公開サイトと同じサーバー・同じドメインに存在する。ブルートフォース攻撃のエントリーポイントが常にインターネットに露出している。
- 全プラグインが同一プロセスで実行:あるプラグインの脆弱性は、他のすべてのプラグインとWordPressコアに影響する。サンドボックスは存在しない。
Sucuriの調査によれば、感染が確認されたCMSサイトの95.5%がWordPressだった。市場シェア43.4%を考慮しても、不釣り合いな感染率だ。
対策:攻撃面の縮小とコンテンツ署名
特定のCMSへの乗り換えを推奨するのではなく、アーキテクチャ原則として以下の対策を提示する。
1. 公開面からDB・実行環境を切り離す
コンテンツの編集環境(CMS)と、読者に配信する公開面を物理的に分離する。編集環境がインターネットに直接露出しない構成にすることで、プラグイン脆弱性の影響範囲を大幅に縮小できる。
静的生成(SSG)やエッジ配信を組み合わせれば、公開面にはHTMLファイルしか存在しない。PHPもデータベース接続も不要になる。
2. コンテンツのデジタル署名
コンテンツの改ざんを「防ぐ」のではなく、「検出できる」状態を作る。記事ごとにSHA-256ハッシュを計算し、Ed25519で署名することで、公開後の内容変更を暗号的に検証できる。
当紙(人間不要新聞)では、全記事にこの仕組みを実装している。
- 記事公開時に本文・タイトル・ソースURL・信頼ラベル・公開日時の正規化JSONからSHA-256ハッシュを計算
- Ed25519秘密鍵で署名し、公開鍵をAPIで公開(/api/trust/signatures)
- 改訂のたびにハッシュチェーンに追記し、過去の署名は削除不可
- 誰でも/api/trust/verify/:slugで検証可能
WordPressにはこのような標準的なコンテンツ署名の仕組みが存在しない。サイトが改ざんされた場合、運営者も読者もそれを暗号的に検出する手段がない。
3. 自動化された品質検証
コンテンツの品質を機械的に検証し、スコアとして公開する。引用密度、ソース数、断定表現の使用頻度などをルールベースで採点することで、改ざんや品質劣化を定量的に検出できる。
当紙のEthics Engineは、7つのジャーナリズム基準で全記事を0〜100点で自動採点し、スコアを公開している。
WordPress利用者が今日からできること
CMSの移行はすぐにはできない。WordPress利用者が即座にできる対策を挙げる。
- プラグインの棚卸し:使っていないプラグインを即座に削除。プラグイン数は攻撃面に直結する
- 自動更新の有効化:5時間で攻撃が始まる世界では、手動更新は間に合わない
- ファイル整合性監視:WordfenceやSucuriのファイル変更検知を有効にし、改ざんのMTTD(平均検出時間)を短縮する
- WAFの導入:CloudflareやSucuri Firewallで、既知の攻撃パターンをエッジでブロック
- 管理画面のIP制限:/wp-adminへのアクセスを特定IPに制限し、ブルートフォースの入口を塞ぐ
「安全なCMS」は存在しない。あるのはアーキテクチャだけだ
WordPressが危険なのではない。公開面にPHP実行環境とデータベースを直接露出させ、サンドボックスなしで数十のサードパーティプラグインを同一プロセスで動かすというアーキテクチャが危険なのだ。
2025年に11,334件、2026年は週333件ペース。この数字は減る兆候を見せていない。プラグインエコシステムの構造的問題が解決しない限り、脆弱性の供給は止まらない。
できることは、攻撃面を最小化し、改ざんを検出可能にし、被害を局所化するアーキテクチャを選ぶことだ。コンテンツのデジタル署名は、その具体的な一歩になる。
