新たな分析により、世界のWebエコシステムにおける重大なセキュリティギャップが明らかになりました。一般公開されているWordPressサイトの70%以上が、サポート終了(EOL)となった古いPHPバージョンを使用しており、サイバー攻撃への脆弱性が大幅に高まっています。
セキュリティ製品とサービス
今回の調査結果は、組織がバックエンドインフラをどのように管理しているかという構造的な問題を浮き彫りにしています。WordPressは現在も主要なコンテンツ管理システム(CMS)であり、2026年6月時点で全Webサイトの40%以上、5,900万件を超える公開インスタンスを支えている実態を踏まえると、この問題の深刻さは際立っています。
古いPHPを使用しているWordPressサイト
Censysによる調査では、バージョン情報が確認できる316,500件以上のWordPress導入環境を調べたところ、サポート対象のPHPバージョンを使用しているのはわずか30%にとどまることが判明しました。

大多数のサイトは、2022年11月にEOLを迎えたPHP 7.4など、サポート終了済みのバージョンに依存していました。一方、WordPress本体のアップデートはより頻繁に適用されている傾向が見られ、約31%のサイトがWordPress 6.9を含むサポート対象バージョンを使用していますが、最新版のWordPress 7.0を使用しているのはわずか14%にとどまります。
WordPressとPHPのバージョン別の脆弱性状況
| 指標 | 値 |
|---|---|
| 一般公開されているWordPressインスタンス数(2026年6月時点) | 5,900万件以上のWebエンティティ |
| PHP/WPヘッダーが確認できるWordPressインスタンス数 | 316,500件以上のサイト |
| 最新版WordPress(7.0)を使用しているサイト | 約44,000件(14%) |
| サポート対象のWordPress(6.9以降)を使用しているサイト | 約99,000件(31%) |
| 最新のPHPパッチを適用しているサイト | 約94,000件(30%) |
| 古いPHPを使用しているサイト | 調査対象の70%超 |
| 最も多く確認されたPHPバージョン | PHP 7.4(2022年11月にEOL) |
この乖離は、管理者がフロントエンドのCMS更新には注力する一方で、その基盤となるPHPランタイムを放置しがちであることを示しており、重大なセキュリティの盲点を生み出しています。
古いバージョンのPHPを使い続けることは、未パッチの脆弱性、セキュリティサポートの欠如、そして最新のセキュリティ対策との互換性問題により、攻撃対象領域を大きく広げる結果につながります。
PHPはWordPressのテーマやプラグインのエコシステム全体を支えているため、この階層における弱点はアプリケーションスタック全体に影響を及ぼしかねません。攻撃者はこのギャップを積極的に悪用しており、大規模に侵害しやすいレガシー環境を狙っています。この問題はWordPressに限らず、CMSを基盤とするインフラ全般に見られる幅広い傾向を反映しています。
ハッキングとクラッキング
PHPのアップグレードが後回しにされる大きな理由の一つは、運用上の負担です。サイト運営者は、機能停止のリスク、プラグインとの非互換性、複雑な移行手順などを、更新をためらう理由として挙げることが多いようです。
PHPのアップグレードモデルは段階的なバージョン移行を前提としているため、大幅に古いバージョンを稼働させているシステムにとっては、更新プロセスが一層複雑になります。その結果、多くの組織がアップデートを事実上先送りにし続け、既知の脆弱性を抱えたまま本番環境を運用している状態です。
プラグインへの依存度が高まっていることも、この問題をさらに深刻にしています。2026年半ば時点で、約750万件のWordPressサイトがプラグインを使用しており、Yoast SEOのような人気ツールは500万件以上のサイトにインストールされています。
しかしパッチ適用の状況にはばらつきがあり、Yoastユーザーのうち最新版を使用しているのは22%未満です。プラグインは新たな攻撃経路となることが多く、監視体制が手薄になりがちなうえ、重大な脆弱性が過去にたびたび指摘されてきました。
例えば、広く使われているUpdraftPlusのようなプラグインは、認証バイパスやデータ漏えいの欠陥を含む複数の高リスクCVEに見舞われてきました。脅威アクターは、サプライチェーン攻撃、バックドア入りのアップデート、正規ソフトウェアを模した悪質なクローンといった手口を通じて、プラグインのエコシステムを悪用してもいます。
こうした弱点がもたらす実害は、進行中の攻撃キャンペーン「Hacked By MR.GREEN」の改ざん活動にも表れています。少なくとも2020年から活動しており、2026年に入っても継続しているこのキャンペーンでは、主にWordPressベースのCMS環境を中心に900件を超えるWebサイトが侵害されました。

これらの攻撃は通常、古いソフトウェアや設定不備を突くもので、露出したxmlrpc.phpエンドポイント、一般公開されたままのインストールスクリプト、保護されていないSSHサービスなどが典型的な標的となります。セキュリティテレメトリからは、こうした脆弱性を狙った継続的なスキャン活動が確認されており、直近数か月間でWordPressのXML-RPCインターフェースを探査する少なくとも70件のIPアドレスが観測されています。
興味深いことに、MR.GREENキャンペーンは金銭的利益やデータの窃取を狙っているようには見えません。その代わり、コンテンツを攻撃者の署名に書き換える、Webサイトの改ざん自体を目的としているようです。

その手口の単純さにもかかわらず、このキャンペーンは基本的なセキュリティ対策が疎かにされた場合、低度な技術力の脅威であっても広範な被害をもたらしうることを如実に示しています。多くのケースでは、古いPHPや未パッチのプラグイン、脆弱なアクセス制御といった複数の小さな問題が組み合わさることで、容易に悪用可能な環境が生まれてしまいます。
セキュリティ製品とサービス
今回の調査結果は、業界にとって重要な教訓を改めて示しています。CMSのセキュリティを維持するには、アプリケーション層とインフラ層の両方に等しく注意を払う必要があるということです。定期的なPHPアップデート、プラグインの積極的な管理、そして安全な設定運用は、リスク低減に欠かせません。
攻撃者が大規模な偵察・攻撃活動の自動化を進め続ける中、わずかなメンテナンスの怠りであっても、瞬く間に全面的な侵害へとエスカレートしかねません。
Interact with Cyber Threats in Windows, Linux, macOS VMs to Trigger Full Attack Chain - Analyse Malware & Phishing with ANY RUN
翻訳元: https://gbhackers.com/over-70-of-public-wordpress-sites-running-outdated-php-exposed/