使っていないプラグイン、そのまま放置していませんか?
WordPressの管理画面を開くと、いつ入れたか思い出せないプラグインが、停止されたまま、あるいは有効なままずらりと並んでいる――。よくある光景ですが、実はこれがサイト乗っ取りの入口になることがあります。「動いているから」「消すのが怖いから」と手をつけずにいるプラグインこそ、攻撃者にとって格好の狙い目です。
この記事では、まず「なぜプラグインの放置が危険なのか」を運営者の方向けに解説し、後半で危険なプラグインの具体的な見分け方と、今すぐできる棚卸し・削除の手順を紹介します。難しいセキュリティ知識がなくても判断できる基準を中心にまとめました。
なぜ「プラグインの放置」が危険なのか
プラグインはWordPressを便利にしてくれる一方で、自分のサイトの中で動く外部のプログラムです。数が増えるほど、そしてバージョンが古くなるほど、攻撃者に狙われる「すき間(攻撃面)」も増えていきます。ここで押さえておきたいのは、次の仕組みです。
- プラグインに脆弱性(セキュリティ上の欠陥)が見つかると、その情報は世界中に公開されます。
- すると、その欠陥を持つサイトを自動で探して攻撃するBotが一斉に動き出します。
- 更新されていない古いプラグインを使っているサイトは、この一斉攻撃で狙い撃ちにされます。
つまり問題は、「特別に狙われたから」ではなく「古いまま放置していたから」被害に遭う、という点です。WordPressサイトのトラブルの多くは、実はこのプラグイン起因です。

実際にあった、放置プラグインからの乗っ取り
私たちが対応した事例を紹介します。約3年間ほとんど更新されずに放置されていたサイトで、「管理画面にログインできない」というご相談でした。調査すると、長期間更新されていなかったファイル管理系のプラグインの脆弱性を突かれ、外部から不正なプログラム(マルウェア)を仕込まれていたことが判明しました。
このとき悪用されたのは、過去に世界中で悪用された経緯のある、深刻な脆弱性が報告されていたプラグインでした。ファイルを操作できる高機能なプラグインだったため、いったん穴を突かれるとサーバー内に自由に不正ファイルを設置されるという、被害の大きいものでした。表面上はサイトが普通に表示されていたため、気づきにくい状態だったのも特徴です。
この事例が示すのは、プラグインの放置は「便利さの代償」ではなく「セキュリティの穴」になり得るということです。とくに、長く更新が止まっていたことと、使っていない高機能プラグインが残っていたことが、被害を大きくしました。
危険なプラグインの見分け方
では、どんなプラグインが危険なのでしょうか。専門的な脆弱性診断をしなくても、次の観点でかなり見分けられます。
1. 長期間更新されていない・開発が終了している
もっとも分かりやすい危険信号が、最終更新がずっと前で止まっているプラグインです。WordPress本体は年に数回更新されるため、プラグイン側も追随してメンテナンスされているのが健全な状態です。作者が開発をやめてしまったプラグインは、新しい脆弱性が見つかっても誰も直してくれません。穴が開いたまま放置される、ということです。プラグインの公式ページで、次の点を確認してください。
- 最終更新日(数ヶ月〜1年以上前で止まっていないか)
- 「使用中の WordPress バージョンで検証済み」の表示があるか(「未検証」は要注意)
- 有効インストール数やレビューが極端に少なくないか
2. 使っていないのに残っている
矢部としてとくに強調したいのがこれです。もう使っていないのに、インストールしたまま残っているプラグインは、真っ先に片付けるべき危険物です。「とりあえず停止しておけば安全」と思われがちですが、これは正確ではありません。停止中のプラグインでも、ファイルはサーバー上に残っており、脆弱性を突く攻撃の対象になり得ます。使わないと決めたなら、停止ではなく削除するのが正解です。前述の事例でも、使っていない高機能プラグインが残っていたことが被害の入口になりました。
3. 高い権限を持つプラグインは特に慎重に
ファイル管理、バックアップ、データベース操作といったサーバーの深い部分を触れるプラグインは、便利な反面、乗っ取られたときの被害が甚大です。こうした高機能プラグインは、本当に必要なときだけ入れて、使い終わったら削除するくらいの慎重さがちょうどよいです。
4. 出所が不明・非正規のプラグイン
有料プラグインを無料で配布している「nulled版」や、公式リポジトリ以外の出所不明なプラグインは、最初からマルウェアが仕込まれていることがあります。プラグインは、原則としてWordPress公式ディレクトリか、信頼できる開発元の正規版だけを使ってください。
ここまでのまとめ:狙われるのは「古い・使っていない・高権限」
いったん整理します。危険なプラグインの正体は、特殊なものではありません。長期間更新されていない/使っていないのに残っている/高い権限を持つ/出所が不明――この4つに当てはまるものが、乗っ取りの入口になりやすいのです。逆に言えば、定期的に棚卸しして、危ないものを消しておくだけで、リスクは大きく下げられます。ここからは、実際の棚卸しの手順を見ていきます。
今すぐできる、プラグインの棚卸し手順
難しい作業ではありません。次の順番で進めれば、多くのリスクを自力で減らせます。
- 一覧で棚卸しする:管理画面の「プラグイン」一覧を開き、それぞれの役割と最終更新日を確認します。
- 使っていないものを削除する:停止のままではなく、不要と判断したものは削除します。念のため、作業前にバックアップを取っておくと安心です。
- 脆弱性情報を確認する:気になるプラグインは「(プラグイン名) 脆弱性」で検索すると、既知の問題が見つかることがあります。
- 残すものは最新に保つ:使い続けるプラグインは、こまめに更新します。自動更新を有効にしておくのも有効です。

技術者向けに補足すると、脆弱性の有無は「WPScan」などの脆弱性データベースや、JVN(日本の脆弱性情報ポータル)でプラグイン名を照合して確認できます。また、停止中プラグインが残っていると、まれにプラグイン内のファイルへ直接アクセスされて実行される攻撃経路が成立することがあります。「停止=無効化」ではあっても「ファイルが消えたわけではない」点は、あらためて意識しておきたいところです。自動更新は、テーマとの相性を確認したうえで、少なくともセキュリティ更新は追随できる運用にしておくのが安全です。
まとめ:棚卸しは予防、感染が疑わしいなら調査を
危険なプラグインは、古い・使っていない・高権限・出所不明という分かりやすいサインで見分けられます。そして対策の基本は、難しいことではなく「使わないものを消し、残すものを最新に保つ」棚卸しです。これを定期的に行うだけで、乗っ取りの入口はかなり塞げます。
一方で、「もう脆弱性を突かれているかもしれない」「管理画面に身に覚えのない投稿やユーザーがある」「サイトが重い・不審な挙動がある」という場合は、すでに感染している可能性があります。表面上は普通に見えても、内部に不正ファイルが潜んでいるケースは珍しくありません。私たちEdel Heartsは、マルウェア感染の調査・除去から、脆弱性を突かれた原因の特定、クリーンな状態への再構築まで対応するWordPress専門チームです。少しでも不安があれば、無理に触らず早めにご相談ください。
- 感染調査・マルウェア除去のスポット対応:WordPressトラブル対応サービス
- プラグインの棚卸し・更新管理を任せる保守:WordPress保守サポート
- サイトの状態を無料でチェック:無料AI診断
- まずは相談してみたい方:お問い合わせフォーム