WordPressサイトの多くがEOLのPHPで稼働、改ざん被害とプラグイン悪用のリスクに直面

WordPressはWeb全体の40%以上を占めており、2026年6月時点で公開されているインスタンスは約100万個のIPアドレスにまたがり、5,900万件を超えています。

Censysの新たなデータによると、公開されているWordPressインスタンスの70%以上が古いバージョンのPHPで稼働している一方、最新のコアバージョンを使用しているWordPressサイトはわずか14%にとどまっています。

このパッチ適用の遅れが、日和見的な脅威アクターにとって格好の標的を生み出しています。中でも最も目立つのが「MR.GREEN」による改ざんキャンペーンで、これまでに900件を超えるサイトが侵害を受けています。

WordPressはWeb全体の40%以上を占めており、2026年6月時点で公開されているインスタンスは約100万個の個別IPアドレスにまたがり、5,900万件を超えています。

2003年の公開以来、WordPressはPHPとMySQLを基盤として構築されており、その依存関係は現在もプラグインやテーマのエコシステム全体にわたって続いています。

Censysはバージョン情報が確認できるWordPressサイト316,500件超を調査し、憂慮すべき非対称性を発見しました。WordPressコアの現行バージョン(6.9または7.0)を使用しているサイトは31%に上る一方で、最新のPHPを使用しているサイトはわずか30%にとどまっているのです。

最も多く確認されたPHPバージョンはPHP 7.4で、これは2022年11月にサポート終了(EOL)を迎えています。各サイトはWordPress本体の更新には追随している一方で、その土台となるPHPフレームワークは危険なほど放置されたままとなっています。

プラグインのエコシステムにも同様の傾向が見られます。約750万件のWordPressサイトがリスト掲載済みのプラグインを使用しており、500万を超えるサイトに導入されているYoast SEOはその実態を如実に示す事例です。

Yoastのバージョン情報を公開しているサイトのうち、最新リリースを使用しているのは22%未満にすぎません。保守が行き届き広く普及しているプラグインでさえ、大半の導入サイトが最新版に追いついていないのです。

プラグインはWordPressコアほど厳しい審査を受けないため、突出したリスクをはらんでいます。300万件を超えるダウンロード数を誇るバックアップ用プラグインUpdraftPlusは、認証バイパスやデータ漏えいに関わる複数のCVEに見舞われてきました。

未修正の脆弱性にとどまらず、プラグインはサプライチェーンリスクももたらします。攻撃者は正規の開発者からプラグインを買収した後にバックドアを仕込むことで正規のプラグインを侵害し、信頼されていたソフトウェアを攻撃の手段に変えてしまうのです。

少なくとも2020年から活動しているMR.GREENキャンペーンは、脆弱なWordPressサイトを改ざんし、HTMLのページタイトルを「Hacked By MR.GREEN」というメッセージに書き換えます。

Censysが特定したところによると、2026年6月時点で被害を受けたサイトは900件を超えており、そのほぼすべてがCMSソフトウェア、主にWordPressで稼働しているとのことです。

被害を受けたサイトに共通するリスク指標としては、/wp-admin/install.phpエンドポイントの露出や、xmlrpc.phpファイルのセキュリティ未対策が挙げられます。xmlrpc.phpはWordPressの旧式APIで、ブルートフォース認証攻撃やプラグインの列挙攻撃に対して脆弱です。

GreyNoiseのセンサーデータでは、過去90日間にxmlrpc.phpを積極的にスキャンしていたIPが70件記録されており、攻撃者がこの設定不備を組織的に探査していることが裏付けられています。

被害を受けたサイトでは、パスワード認証によるSSHが公開され、IP制限もかけられていないケースが頻繁に見られました。注目すべきは、このキャンペーンには改ざん行為そのものを超える二次的な目的が見当たらないという点です。これは、高度で新規性のある攻撃連鎖というよりも、日和見的かつ自動化された攻撃であることを示唆しています。

セキュリティチームは、PHPのアップデートを任意のメンテナンスではなく重要なパッチとして扱い、1~3か月ごとにリリース状況を確認し、EOL期限を迎える前に早めに移行を進めるべきです(PHP 8.6は2026年11月にリリース予定です)。

WordPress管理者は、本番サイトでのプレリリース版(ベータ版)の使用を避け、自動更新は信頼できるプラグインに限定し、Wordfenceの脅威インテリジェンスフィードなどのリソースを通じてプラグインの脆弱性情報を継続的に監視すべきです。

翻訳元: https://cyberpress.org/wordpress-sites-running-eol-php/

ソース: cyberpress.org