「ホームページを作ってから、一度も更新していない」

中小企業の経営者様やご担当者様から、弊社にこうしたご相談が寄せられることは少なくありません。

制作会社との保守契約が切れていたり、担当していた社員が退職していたりと、事情はさまざまです。

しかし、WordPress(世界で広く使われているCMS=コンテンツ管理システム)で作られたホームページを放置することは、乗っ取りのリスクを大きく高めます。

攻撃者は企業の規模を選びません。

この記事では、放置がなぜ危険なのか、乗っ取られると何が起きるのか、すでに被害に遭っていないかを安全に確認する方法、そして今日から始められる予防策までを順に解説します。

WordPressの放置が乗っ取りにつながる理由

WordPressの放置とは、本体・テーマ・プラグインの更新を止めた状態を指します。

公開済みの脆弱性(セキュリティ上の弱点)が修正されないまま残るため、乗っ取りのリスクが高まります。

「うちのような小さな会社は狙われない」と考える方は多いのですが、これは大きな誤解です。

理由を3つに分けてご説明します。

WordPressそのものの仕組みについては、WordPressとはもあわせてご覧ください。

脆弱性の多くはプラグイン・テーマに起因する

WordPressの脆弱性は、後から追加したプラグインやテーマに集中する傾向があります。

セキュリティ企業Patchstackのレポート「State of WordPress Security In 2026」によると、2025年にWordPress関連で新たに見つかった脆弱性は11,334件で、前年から42%増加しました。このうち91%がプラグイン、9%がテーマで見つかっており、WordPress本体(コア)で報告されたのはわずか6件でした。

(出典:Patchstack「State of WordPress Security In 2026」、2026年2月25日時点のデータ。同社の観測に基づく調査です)

ただし、WordPress本体にも脆弱性は見つかります。実際に2026年3月には、本体のセキュリティ問題に対処するリリースが立て続けに公開されました。

本体・テーマ・プラグインのすべてを更新対象としてお考えください。

もう1つ見落とされがちなのが、「使っていないプラグイン」も攻撃対象になるという点です。

停止(無効化)しただけではファイルはサーバー上に残り、脆弱性も残ったままになります。

脆弱性が公開されてから攻撃が始まるまでは短い

脆弱性の情報が公開されると、攻撃者も同じ情報を見ます。

前述のPatchstackのレポートによれば、影響度の大きい脆弱性のおよそ半数は、公開から24時間以内に悪用が確認されています。

悪用の激しさを加味した中央値では、公開から最初の悪用までわずか5時間でした。

「気づいたときに更新する」「年に一度まとめて更新する」という運用では、間に合わない可能性があるということです。

なお、脆弱性は必ず修正版とセットで公開されるわけではありません。

同レポートでは、2025年に公開された脆弱性の46%は、公開の時点で開発元からの修正が提供されていなかったと報告されています。

修正版が出ていない場合は、該当するプラグインを一時的に停止・削除する、代替の製品に移行するといった対応が必要になります。

何年も前の脆弱性が、今も狙われ続けている

「昔の脆弱性なら、もう攻撃者も興味がないだろう」と考えるのは危険です。

前述のPatchstackのレポートでは、2025年に最も攻撃対象となった脆弱性の上位10件のうち、2025年に公開されたものは4件だけでした。

残りは2023年・2024年に公開された、すでに修正版が出ている古い脆弱性です。

攻撃者は「まだ更新していないサイトが残っているはず」という前提で、古い脆弱性への攻撃を続けています。

放置した期間が長いほど、狙われる穴が積み上がっていく構造だとお考えください。

「何ヶ月までなら大丈夫か」という基準があるわけではありません。

乗っ取られたWordPressに起きる5つのこと

乗っ取りと聞くと、「トップページが英語のメッセージに書き換えられる」といった分かりやすい被害を想像しがちです。

しかし実際には、気づかないまま被害が広がるケースのほうが深刻です。ここでは代表的な5つのリスクを整理します。

サイトの改ざん・不正なリダイレクト

代表的な被害の1つが、コンテンツを書き換えられるケースです。

見覚えのないページが大量に生成される、リンクを押すと別のサイトに飛ばされる、といった被害が起こります。

管理者が自社サイトを見ても異常に見えず、検索エンジン経由の訪問者にだけ不正な挙動が起きるよう仕組まれている場合もあります。

訪問者へのマルウェア配布と二次被害

被害は自社だけにとどまりません。

改ざんされたホームページが、訪問者にマルウェア(パソコンやスマートフォンに害を与える不正なプログラム)を感染させる踏み台にされることがあります。

偽の認証画面を表示し、訪問者自身にファイルをダウンロードさせる手口も報告されています。

取引先や既存のお客様に被害が及ぶ可能性がある点に注意が必要です。

Googleの警告表示と検索順位の下落

検索からの流入は、乗っ取りによって一気に失われます。

Googleが不正なコンテンツを検知すると、検索結果に警告が表示されたり、サイトが検索結果に出なくなったりします。

長年かけて積み上げた検索流入が、短期間で失われるおそれがあります。

個人情報の漏えいと報告義務

お問い合わせフォームから送信された氏名・メールアドレス・電話番号などが盗み出されるケースがあります。

個人情報保護法では、2022年(令和4年)4月1日から、個人データの漏えい等が発生し、個人の権利利益を害するおそれが大きい場合に、個人情報保護委員会への報告と本人への通知が義務付けられています。

不正アクセスによる漏えいや、ホームページが改ざんされて利用者の入力情報が第三者に送信された場合は、この対象になり得ます。

報告は2段階です。

事態を知った時点から概ね3〜5日以内を目安に「速報」を、原則30日以内(不正の目的をもって行われたおそれがある行為による場合は60日以内)に「確報」を行います。

あわせて、本人への速やかな通知も求められます。

(出典:個人情報保護委員会、2026年7月時点)

ただし、報告義務が生じるかどうかは、扱っていた情報の種類・件数・第三者への流出のおそれなどによって判断が分かれます。

乗っ取られたら必ず報告が必要になる、というものではありません。

自社のケースが該当するかどうかの判断は、専門家にご相談ください。

スパムメール送信の踏み台化

見落とされやすいのが、メールへの影響です。

サーバーを乗っ取られ、大量の迷惑メールの送信元として使われることがあります。

その結果、自社ドメインが「迷惑メールの送信元」として扱われ、取引先に通常のメールが届かなくなるという業務上の実害が出ることもあります。

「乗っ取られたかも」と疑うチェックポイント

ここまでお読みになって不安を感じた方のために、ご自身で確認できるチェックポイントをまとめます。

1つでも当てはまる場合は、早めに専門の制作会社へご相談ください。

その前に、重要な注意点があります。 乗っ取りが疑われるページを、普段お使いのパソコンやスマートフォンのブラウザで直接開くことは避けてください。

Googleは、マルウェアがブラウザの脆弱性を悪用して広がることが多いため、感染したページをブラウザで開くとご自身の端末に被害が及ぶ可能性があると案内しています。

シークレットモードに切り替えても、この危険を避けることはできません。

(出典:Google Search Console ヘルプ「セキュリティの問題レポート」、2026年7月時点)

安全に確認できる方法は、次のとおりです。

  • site:自社ドメイン でGoogle検索する — 見覚えのないページや、身に覚えのない外国語のページが出てこないか確認します。検索結果を見るだけなので、安全に実施できます
  • Google Search Console(Googleが無料提供するサイト管理ツール)の「セキュリティの問題」を確認する — 警告が届いていないか確認します
  • Google Search Console の「URL検査」ツールを使う — ページを直接開くことなく、Googleが認識しているページの内容を確認できます。攻撃者はサイト所有者に対して改ざんを隠す手法を使うことがあるため、この方法が有効です
  • 管理画面のユーザー一覧を見る — 見覚えのない管理者ユーザーが追加されていないか確認します
  • 正しいID・パスワードでログインできない — 乗っ取りの可能性があります
  • サーバー会社からの警告メールを確認する — スパム送信や不正アクセスの通知が届いていないか確認します
  • 取引先やお客様からの連絡 — 「サイトを開いたら別のページに飛んだ」といった連絡は、有力な手がかりです

ページの中身そのものを詳しく調べる必要がある場合は、隔離された環境で行う必要があります。

ご自身では行わず、制作会社やセキュリティ専門業者にご依頼ください。

なお、ホームページが表示されない・見当たらない場合は、乗っ取り以外の原因も考えられます。

詳しくは自分のホームページが消えた!原因と対処法をご覧ください。

乗っ取りが疑われるときの5つのステップ

万一、乗っ取りが疑われる場合の対応は、被害を止める → 証拠を残す → 原因を突き止めて取り除く → 認証情報を入れ替える → 復旧する という順序になります。

もっとも多い失敗は、慌てて不正なファイルを削除してしまうことです。原因究明や個人情報の漏えい調査に必要な手がかりまで消えてしまい、後から取り返しがつかなくなります。

ステップ1|サイトを一時停止して被害を止める

まず、改ざんされたホームページを訪問者に見せ続けないようにします。

サーバーの管理画面からアクセスを制限する、レンタルサーバーのサポートに連絡して一時停止してもらう、といった方法があります。

訪問者へのマルウェア拡散を止めることが最優先です。

あわせて、WordPressの管理画面・サーバー・FTPなどのアクセスを一旦ロックダウンし、攻撃者がこれ以上サイトを操作できない状態にします。

ステップ2|消す前に、証拠を保全する

被害を見つけると、すぐに不正なファイルを消したくなります。しかし、ここで一度手を止めてください。

サーバー上のファイル、データベース、アクセスログ、サーバーのスナップショットなどを、そのままの状態で別途保存しておきます。

これらは「どこから侵入されたのか」「個人情報が持ち出された可能性があるか」を後から調べるための、ほぼ唯一の手がかりです。

削除や上書きをした後では、調査ができません。個人情報の漏えいが疑われる場合、報告義務の判断にもこの調査結果が必要になります。

ステップ3|侵入経路とバックドアを取り除く

パスワードを変えれば安全になる、というものではありません。

認証情報を変更しても、侵入に使われた穴はそのまま残ります。

不正なコードを削除しても、しばらくすると同じ被害が再発することがあります。

これは「バックドア」と呼ばれる裏口が仕掛けられているためです。

バックドアは画像ファイルに偽装されていたり、通常は目に触れないフォルダに置かれていたりするため、目視での発見は困難です。

さらに近年は、独立した不正ファイルを置くのではなく、正規のWordPress本体・プラグイン・テーマのファイルに不正なコードを埋め込む手法が増えていると報告されています(出典:Patchstack「State of WordPress Security In 2026」)。

ファイルを探して削除するだけの対応では、これを取り除けません。

このほか、侵入に使われた脆弱なプラグイン・テーマ、改ざんされたサーバー設定、勝手に追加された管理者アカウント、不正な自動実行処理なども、あわせて取り除く必要があります。

この工程は専門知識を要します。

削除しても再発する場合は、自力での対応をいったん止め、制作会社やセキュリティ専門業者にご相談ください。

ステップ4|信頼できる端末から、認証情報を入れ替える

サイトをきれいにした後、あらためてパスワードを変更します。

WordPressの管理画面だけでなく、サーバー、FTP、データベース、ドメイン管理会社のアカウントまで、関係するパスワードをすべて変更し、ログイン中のセッションを無効化します。

あわせて、退職者や契約が終了した業者のアカウントが残っていないかを確認し、不要なものは削除してください。

WordPress公式も、サイトがクリーンになったことを確認したうえで、もう一度パスワードを変更するよう案内しています。

発見時に一度変えただけでは不十分です。

もう1点、見落とされやすい注意があります。

作業に使うパソコン自体がウイルスに感染していると、新しく設定したパスワードもそのまま盗まれてしまいます。

WordPress公式は、作業前にローカル端末のウイルス・マルウェアスキャンを実施するよう案内しています。

(出典:WordPress公式ドキュメント「FAQ My site was hacked」、2026年7月時点)

ステップ5|復旧し、Googleの警告に対応する

安全が確認できたら、クリーンなバックアップから復旧するか、環境を作り直します。

その後、Google Search Console の「セキュリティの問題」レポートを確認してください。警告が表示されている場合は、すべての問題を修正したうえでセキュリティ審査をリクエストします。Googleによれば、審査の完了までには数日から数週間かかることがあります(2026年7月時点)。

なお、Search Console に審査対象として表示されないタイプの警告は、手動の申請ができません。この場合は、サイトが修復された後にGoogleが再度クロールすることで、警告が解除される場合があります。

(出典:Google Search Console ヘルプ、2026年7月時点)

放置しないための日常の保守

ここまでは「乗っ取られた後」の話でした。しかし本当に大切なのは、乗っ取られない状態を保つことです。

復旧には時間も費用もかかりますが、日々の保守はそれよりはるかに軽い負担で済みます。

本体・テーマ・プラグインの更新とバックアップをセットで行う

更新は「まとめて年に一度」では間に合いません。

WordPress公式の発表によると、2026年5月20日にWordPress 7.0「Armstrong」が公開され、2026年7月9日にはメンテナンスリリースの7.0.1が公開されました。

2026年7月時点の最新安定版は7.0.1です。

また2026年3月には、6.9.2・6.9.3・6.9.4と、セキュリティに関するリリースが立て続けに公開されました。

6.9.2で10件のセキュリティ問題に対処したものの、修正の一部が完全に適用されていないことが判明し、追加修正版の6.9.4が出された経緯があります。

更新は一度きりの作業ではなく、継続的に発生するものだとお考えください。

(出典:WordPress.org 公式リリース情報、2026年7月13日時点)

ただし、更新によって表示が崩れたり機能が止まったりすることもあります。次の順序が安全です。

  1. バックアップを取る(ファイルとデータベースの両方)
  2. 利用中のテーマ・プラグインが新しいバージョンに対応しているかを確認する
  3. 可能であればテスト環境で確認してから、本番環境に適用する

使っていないプラグイン・テーマは「削除」する

前述のとおり、停止(無効化)しただけではファイルは残り、脆弱性も残ります。使っていないものは削除してください。

「前任者が入れたプラグインが大量にあるが、何が起きるか分からず消せない」というご相談はよくいただきます。

この状態こそが危険です。

プラグインの整理についてはWordPressプラグインとはもご参照ください。

ログイン周りを固める

攻撃の入口として、いまだにログイン画面が狙われ続けています。

次のような対策が効果的です。

  • 推測されにくい長いパスワードを設定し、使い回しを避ける
  • 2要素認証(パスワードに加えて、スマートフォンなどで本人確認する仕組み)を導入する
  • ログインの試行回数を制限する
  • 管理画面へのアクセスをIPアドレスで制限する

セキュリティ対策のプラグインには複数の選択肢があります。

特定の製品を入れれば万全になるというものではないため、サーバー側の防御機能とあわせて、多層的に備えることをおすすめします。

「野良サイト」を作らない

もっとも危険なのは、誰も管理していないホームページです。

次のような状況に心当たりがあれば、早めに手を打ってください。

  • キャンペーン用に作った別サイトを、終了後もそのまま公開している
  • 担当者が退職し、ログイン情報が社内に残っていない
  • 制作会社と連絡が取れなくなった

制作会社が廃業・倒産した場合の対応はホームページ制作会社が倒産!対処法、管理を別の会社に移す方法はホームページの管理会社を変更する方法で解説しています。

業種別に見る「放置されやすいWordPress」

放置に至る事情は、業種によって傾向が異なります。弊社の制作・保守の現場で見えてきた典型的なパターンを、5つの業種でご紹介します。ご自身の状況に近いものがないか、確認してみてください。

士業(税理士事務所・社労士事務所など)

制作後は問い合わせフォームだけが稼働している状態になりがちです。「情報を更新する必要がない」と感じるため、更新作業そのものが意識から外れやすい業種です。

飲食(カフェ・レストラン)

日々の発信がSNSに移り、ホームページが実質的に放棄されるケースです。予約フォームだけが動いたまま、数年更新されていないという状況が起こります。

製造業(町工場・部品メーカー)

ITに明るい社員が1人だけで運用していて、その方の退職とともにログイン情報ごと分からなくなるパターンです。

団体・組合(マンション管理組合など)

役員が輪番制のため、引き継ぎのたびに管理者が曖昧になりがちです。管理組合のホームページ運用についてはマンション管理組合がホームページを持つメリットもご覧ください。

医療・健康(整骨院・サロンなど)

キャンペーンや新メニューの告知用に別ページ・別サイトを作り、そのまま閉じ忘れるケースです。本体サイトは管理していても、こうした「離れ小島」が入口になることがあります。

弊社では、業種を問わず中小企業のお客様のホームページ保守を承っています。社労士事務所様や整骨院様など、保守管理をご利用いただいているお客様の声もご紹介していますので、近い業種の事例をご覧いただければと思います。

よくあるご質問

放置と乗っ取りについて、経営者様・ご担当者様からよくいただくご質問をまとめました。

Q: 小さな会社のサイトでも狙われますか?

狙われます。攻撃の多くは、企業を選んで行われるものではなく、脆弱性のあるサイトを機械的に探し出して仕掛けられるためです。むしろ、専任の担当者がいない中小企業のサイトのほうが、放置されやすい分だけリスクが高いケースが多いです。

Q: 自動更新をオンにしておけば安心ですか?

自動更新は有効な手段の1つですが、それだけで十分とは言えません。更新によって表示が崩れる可能性があるため、定期的に表示や問い合わせフォームの動作を確認する体制が必要です。また、開発が止まったプラグインには、そもそも修正版が配布されません。

Q: セキュリティプラグインを入れれば大丈夫ですか?

プラグインは対策の一部です。導入すれば何もしなくてよくなるわけではありません。また、プラグインを増やせば増やすほど安全になるわけでもなく、かえって管理対象が増える面もあります。更新・バックアップ・ログイン対策と組み合わせて考えることが大切です。

Q: 保守を外部に依頼すると費用はどれくらいですか?

サイトの規模や作業範囲によって幅があります。弊社が管理費の相場を調べた範囲では、中央値は月額1万円前後で、5,000円〜2万円の価格帯が最も多いという結果でした(2026年5月時点)。更新頻度の低い小規模サイトであれば、月額3,000円〜5,000円程度で対応している制作会社もあります。

復旧にかかる費用と比べれば、予防のほうが負担は軽く済むケースがほとんどです。詳しくはホームページ管理費の相場制作会社の保守費用をご覧ください。弊社の保守管理の内容はこちらのページにまとめています。

まとめ

WordPressを更新・監視せずに放置することは、乗っ取りの可能性を大きく高める主要なリスク要因です。本記事の要点を整理します。

  • 脆弱性の多くは、後から追加したプラグイン・テーマに集中する。ただし本体にも脆弱性は見つかるため、すべてを更新対象とする
  • 何年も前の脆弱性が今も狙われており、放置した分だけ穴が積み上がる
  • 使っていないプラグインは「停止」ではなく「削除」する
  • 被害は改ざん・マルウェア配布・検索順位の下落・個人情報の漏えい・スパム送信の踏み台化など多岐にわたる
  • 乗っ取りが疑われるページを、ブラウザで直接開いてはいけない。 Search Console のURL検査ツールなど、安全な方法で確認する
  • 復旧では、削除する前に証拠を保全する。パスワード変更だけでは侵入経路はふさげない
  • 復旧より予防のほうが、時間も費用も負担が軽い

「作って終わり」ではなく、「公開してからどう守るか」がホームページ運用の本質です。まずは、自社サイトの更新がいつ止まっているかを確認するところから始めてみてください。

ホームページ制作・保守管理のご相談は、株式会社リヒトスまでお気軽にお問い合わせください。