OVERVIEW
WordPressのセキュリティプラグインとして世界的に知られるWordfenceが、2024年のセキュリティ動向をまとめた年次レポートを発表しました。
このレポートでは、WordPressサイトを取り巻く脅威の実態や、脆弱性報告の急増、プラグインのセキュリティリスク、攻撃パターンの変化など、重要な情報が明らかになっています。
本記事では、このレポートの内容を詳しく解説し、WordPressサイトを運営するすべての人にとって必要な対策について、分かりやすく説明していきます。
特に、54億件以上の攻撃を検出した実態や、プラグインが96%の脆弱性を占める衝撃の事実、そして2025年に向けた具体的なセキュリティ対策について、詳しく見ていきましょう。
Wordfenceとは
Wordfenceは、WordPressサイトのセキュリティを保護するための総合的なセキュリティソリューションです。世界で最も広く使用されているWordPressセキュリティプラグインの一つで、以下のような特徴があります:
- リアルタイムの脅威検知と防御
- マルウェアスキャン機能
- ファイアウォールによる攻撃ブロック
- ログインセキュリティの強化
- 脆弱性スキャン機能
このレポートは、Wordfenceが収集した膨大なデータに基づいて作成されています。Wordfenceは、世界中の400万以上のWordPressサイトを保護しており、毎日数十億件のセキュリティイベントを監視・分析しています。これにより、WordPressサイトに対する最新の攻撃パターンや脆弱性の傾向を正確に把握することができます。Wordfenceのデータは、WordPressサイトのセキュリティ状況を理解する上で、最も信頼性の高い情報源の一つとなっています。そのため、このレポートはWordPressサイトの運営者やセキュリティ専門家にとって、効果的なセキュリティ対策を計画する上で重要な指針となります。
54億件の攻撃を検出!WordPressサイトを取り巻く脅威の実態
2024年、Wordfenceは54億件以上の悪意のあるリクエストを検出し、そのうち48億件以上をブロックしました。これらの攻撃は209万の異なるIPアドレスから発生し、142万のIPアドレスからの攻撃をブロックしました。
特に注目すべきは、攻撃パターンの変化です。2024年の後半、特に11月から12月にかけて攻撃の増加が見られました。これは、脆弱性の報告数の増加と、パスワード攻撃(ブルートフォース攻撃)の減少傾向と同時期に起きています。攻撃者たちが、ブルートフォース攻撃より効果的な攻撃手法に移行していることを示唆しています。
また、約55億件のブルートフォース攻撃をブロックしましたが、これは前年比で減少傾向にあります。これは、ホスティング環境のセキュリティ強化や、パスワードセキュリティの向上、2要素認証の普及が効果を上げていることを示しています。
脆弱性報告が68%増加!?その意外な背景とは
レポートには2024年、WordPressの脆弱性報告は2023年と比べて68%も増加し、8,223件の脆弱性が報告されたとあります。しかし、この急増には重要な背景があります。
Wordfenceが2023年末に開始した「Bug Bounty Program(脆弱性発見報酬プログラム)」により、セキュリティ研究者たちが積極的に脆弱性を発見・報告するようになりました。このプログラムでは、研究者たちが発見した脆弱性に対して報酬が支払われ、その結果として報告数が増加したのです。
また、報告された脆弱性の81%が「中程度」の深刻度だったという点も注目です。これらの脆弱性は、サイトに深刻な影響を与える可能性は低いものの、適切な対策が必要です。
また、約35%の脆弱性が2025年時点で未修正のままとなっており、継続的なセキュリティ対策の重要性を示しています。
プラグインが脆弱性の96%を占める!WordPressコアは安全?
レポートで最も衝撃的な発見の一つは、報告された脆弱性の96%がプラグインに関連していたという事実です。一方、WordPressコアに関連する脆弱性はわずか5件のみでした。
この結果は、WordPressコアのセキュリティが非常に高い水準で維持されている一方、プラグインのセキュリティ管理が重要であることを示しています。
特に注目すべきは、脆弱性の分布です:
- 1,000〜10,000のアクティブインストールを持つプラグインが21%の脆弱性を占める
- 100未満のアクティブインストールを持つプラグインが17%の脆弱性を占める
- 50,000以上のアクティブインストールを持つプラグインは12%の脆弱性のみ
このデータから、より多くのユーザーが使用しているプラグインほど、セキュリティが向上している傾向が見られます。これは、活発な開発とセキュリティアップデートが行われているためと考えられます。
逆に、2年以上更新されていないプラグインや、アクティブインストール数が少ないプラグイン、セキュリティアップデートが遅れているプラグインには注意が必要です。
90億件のXSS攻撃を検出!パスワード攻撃は減少傾向
2024年、最も多かった攻撃はクロスサイトスクリプティング(XSS)攻撃で、90億件以上がブロックされました。
XSS攻撃は、攻撃者がウェブサイトに悪意のあるスクリプトを注入し、訪問者のブラウザで実行させる攻撃手法です。これにより、ユーザーの情報が盗まれたり、サイトが改ざんされたりする可能性があります。
一方、SQLインジェクション攻撃は11億件がブロックされ、2番目に多い攻撃パターンとなりました。
この攻撃は、データベースに直接アクセスを試みる危険な攻撃手法です。
また前述の通りパスワード攻撃(ブルートフォース攻撃)は55億件以上がブロックされましたが、前年比で減少傾向にあります。これは、パスワードセキュリティの向上や2要素認証の普及が効果を上げていることを示しています。
2025年、あなたのサイトを守る最新セキュリティ対策
レポートから、2025年に向けて重要な対策が明らかになりました。WordPressサイトのセキュリティを確保するためには、4つの多層防御アプローチが不可欠です。
1. Webアプリケーションファイアウォール(WAF)の導入
WAFは、Webサイトとインターネットの間に設置される「セキュリティガード」のようなものです。例えば、XSS攻撃やSQLインジェクション攻撃などの一般的な攻撃パターンを検知し、ブロックします。Wordfenceのデータによると、WAFによって90億件以上のXSS攻撃をブロックした実績があります。
2. マルウェアスキャンと脆弱性スキャン
2024年、約100万のサイトがマルウェアに感染し、1日あたり32.5万〜35万のサイトが感染状態にあることが判明しました。最も一般的なマルウェアは、.icoや.phpファイルに隠された悪意のあるコードで、95,200のサイトで検出されました。
マルウェアスキャナーを定期的に実行することで、サイトに潜む悪意のあるプログラムを早期に発見し、除去することができます。また、脆弱性スキャンを実施することで、サイトのセキュリティ上の弱点を特定し、修正することができます。
3. パスワードセキュリティの強化
パスワード攻撃は減少傾向にあるものの、依然として大きな脅威です。以下の対策が推奨されます。
- 強力なパスワードの使用(大文字・小文字・数字・特殊文字の組み合わせ)
- 2要素認証の有効化
- 定期的なパスワード変更
- ログイン試行回数の制限
4. プラグイン管理の最適化
プラグインは96%の脆弱性の原因となっているため、適切な管理が重要です。
- 未使用プラグインの定期的な見直し
- 2年以上更新されていないプラグインの使用を避ける
- アクティブインストール数が少ないプラグインの使用を慎重に検討
- セキュリティアップデートの自動化
まとめ
Wordfenceの2024年セキュリティレポートは、WordPressサイトのセキュリティが継続的に進化していることを示しています。攻撃手法は変化し、新しい脅威が出現していますが、適切な対策を講じることで、サイトを安全に保つことが可能です。特に重要なのは、セキュリティ対策を一度行えば終わりではなく、継続的な取り組みが必要だという点です。定期的なセキュリティ監査と最新のセキュリティ動向の把握が、あなたのサイトを守る鍵となります。
2024年のデータから、以下の傾向が明確になりました。
- 攻撃の総数は増加(54億件以上)
- パスワード攻撃は減少傾向
- プラグインが脆弱性の主要な原因
- マルウェア感染は依然として大きな脅威
これらの知見を活かし、適切なセキュリティ対策を実施することで、あなたのWordPressサイトを最新の脅威から守ることができます。セキュリティは投資であり、サイトの信頼性と安全性を確保するための重要な要素です。
参考)Wordfence 2024セキュリティレポート:https://www.wordfence.com/wp-content/uploads/2025/04/2024-Annual-WordPress-Security-Report-by-Wordfence.pdf