【2026年版】WordPress・Drupal脆弱性診断｜CMSの確認ポイントと費用

最終更新: 2026年5月

あなたの会社のホームページは、WordPressやDrupalのようなCMS（コンテンツ管理システム）で作られていませんか？

手軽に更新できて、とても便利ですよね。

しかしその手軽さの裏側で、セキュリティ対策について不安を感じたことはありませんか？

「うちは小さな会社だから大丈夫」「プラグインも入れているし、基本的な対策はしているから問題ない」と思っているかもしれません。

しかし、その「大丈夫だろう」という思い込みが、実は一番危ないのです。

この記事では、WordPress・Drupalそれぞれの確認ポイント、自分でできる対策、そして専門的な脆弱性診断の費用（単発50,000円〜の明朗会計）まで、分かりやすくご説明します。さらに、Webアプリ全体の診断観点についてはWebアプリ脆弱性診断ツール比較も参考にしてください。

セキュリティー診断さん

うちのサイトも危ないの？便利なプラグインをたくさん入れてるから、むしろ安全だと思ってたけど…。

なぜCMSサイトは狙われやすいの？

CMS、特に世界中で大人気のWordPressなどは、なぜ攻撃の的になりやすいのでしょうか。その理由は、意外と身近なところにあります。ECサイトを運営している場合は、Shopifyのセキュリティ診断も参考に、決済導線や会員情報のリスクを確認することが重要です。

世界中で使われているからこその危険

WordPressが世界中のWebサイトの多くで使われているという事実は、すごいことです。しかしそれは同時に、攻撃者たちにとっても「攻略法を研究しやすい対象」であることを意味します。

多くの人が同じ種類の家に住んでいると、泥棒もその家の鍵の開け方を研究しやすくなるのと似ています。広く使われているからこそ、その弱点も広く知られてしまいやすいのです。新しい脆弱性が公表されると、その情報をもとにした攻撃が世界中で一斉に始まる、ということも珍しくありません。

プラグインやモジュールが弱点になることも

CMSの魅力の一つは、機能を追加できる「プラグイン」（Drupalでは「モジュール」）の存在です。カレンダー機能を追加したり、お問い合わせフォームを設置したり、非常に便利です。

しかし、この便利な拡張機能が、思わぬセキュリティの穴になってしまうことがあります。例えば、開発者が更新を止めてしまった古い拡張を使っていたり、もともと作りの甘い拡張をインストールしてしまったり。

それはたとえるなら、家に新しい窓を取り付けたものの、その窓自体の建てつけが悪く、簡単にこじ開けられてしまうような状態です。便利な機能の裏側には、常にリスクが潜んでいる可能性があることを念頭に置くことが大切です。

「うちは中小企業だから」はもう通用しない

「うちみたいな小さな会社のサイトを、わざわざ狙う人なんていないよ」と考えていませんか？残念ながら、その考えは今は通用しません。

今のサイバー攻撃は、特定の会社を狙い撃ちするだけでなく、プログラムを使って「インターネット上にある守りの弱いサイト」を自動的に探し出して攻撃する手口が主流です。通りがかりに鍵のかかっていない家があったら、誰でも入れてしまいますよね。攻撃者は、あなたの会社の規模や知名度よりも、「侵入しやすいかどうか」を重視して見ているのです。

WordPressサイトで特に確認すべきポイント

WordPressは最も利用者が多いぶん、攻撃対象としても筆頭です。次の観点を重点的に確認しましょう。

• 本体・プラグイン・テーマのバージョン: 自動更新が有効か、放置された古い拡張がないか。更新通知が来ていないか管理画面を定期的に確認します。
• ログイン周りの防御: /wp-login.php・/wp-admin/ への総当たり（ブルートフォース）対策、ログイン試行回数の制限、二要素認証の導入。管理者ユーザー名が初期値の「admin」のままになっていないかも要確認です。
• 使っていないプラグイン/テーマの残置: 無効化していても、ファイルがサーバー上に残っていれば、その拡張に弱点があった場合に侵入口になり得ます。使わないものは削除が基本です。
• ファイルアップロード・問い合わせフォーム: 画像投稿やフォーム送信など、外部からの入力を受け取る処理に不正なファイルや危険な入力を弾く仕組みがあるか。

具体的なログインの強化策については、後述の「自分でできる対策」もあわせてご覧ください。

セキュリティー診断さん

え、便利なはずのプラグインが危ないの！？面白そうなものはどんどん追加してたよ…どうしよう！

Drupalサイトで特に確認すべきポイント

Drupalは大規模サイトや公共系のサイトでよく使われ、権限管理が柔軟で高機能な反面、設定の複雑さがリスクになりやすいCMSです。

• コア・コントリビュートモジュールの更新: Drupalは過去に「Drupalgeddon」と呼ばれる、外部から乗っ取りが可能になる重大な脆弱性が公表された実績があります。更新の遅れが致命傷になりやすいため、セキュリティリリースは速やかに適用しましょう。
• 権限（ロール）設定: 匿名ユーザーや一般会員に、本来必要のない強い権限（コンテンツ編集・設定変更など）が付与されていないか。権限の付与は「必要最小限」が原則です。
• 入力フィルタ・フォームAPI: 公開フォームやAPI経由で受け取る入力が適切に検証・無害化されているか。
• 設定・バックアップファイルの公開状態: 管理画面や設定ファイル、バックアップファイルが外部から直接アクセスできない場所にあるか。

このように、WordPressとDrupalでは確認すべき勘所が異なります。「CMSだから一律で大丈夫」ではなく、使っているCMSに応じた診断が必要です。特に、OWASP Top 10の脆弱性についてはOWASP Top 10とは？Webの主要脆弱性チェックと自己診断を参考にするのも良いでしょう。

自分でできるCMSセキュリティ対策の基本

もちろん、すぐに自分でできる対策もあります。難しく考えずに、まずはここから始めてみましょう。

まずは簡単！バージョンアップを忘れずに

CMS本体や、使っているプラグイン・テーマ・モジュールには、定期的に「安全性を高めたり機能を改善したりするための更新（バージョンアップ）」が提供されます。この中には、新しく見つかった弱点をふさぐための修正が含まれていることがあります。

この更新作業を後回しにすることは、弱点を知りながら放置しているのと同じで、非常に危険です。管理画面に更新通知が来ていたら、バックアップを取った上で、できるだけ早く実行する癖をつけましょう。

バックアップとは、今のサイトの状態をまるごとコピーして保存しておくことです。万が一、更新後にサイトの表示が崩れても、バックアップがあれば元の状態に戻すことができます。

パスワードは複雑で分かりにくいものを

ログインパスワードに「123456」や「password」、または自分の誕生日やペットの名前などを使っていませんか？簡単に推測できるパスワードは、対策をしていないのと同じくらい危険です。

理想的なパスワードは、大文字・小文字・数字・記号を組み合わせた、十分な長さのある複雑なものです。複雑なパスワードでも安全に管理できるパスワード管理ツールの活用がおすすめです。そして、他のサービスで使っているパスワードの使い回しはやめましょう。一つのサイトでパスワードが漏れると、他のサイトにも不正ログインされる危険があります。

使わないプラグインやテーマは削除しよう

「いつか使うかもしれないから」と、今は使っていないプラグインやテーマをそのままにしていませんか？実はこれもリスクです。

使っていない拡張でも、サイトの一部として存在している限り、そこに弱点があれば攻撃の侵入口になり得ます。普段使っていない部屋の窓を開けっ放しにしているようなものです。整理して、本当に必要なものだけを残しましょう。

CMS脆弱性診断 セルフチェックリスト

• [ ] CMS本体・全プラグイン/モジュールが最新版になっている
• [ ] 使っていないプラグイン・テーマを削除した
• [ ] 管理画面に二要素認証を設定し、管理者名が推測されにくい
• [ ] 公開フォーム・ファイルアップロードの入力検証を確認した
• [ ] バックアップを定期取得し、復元手順を確認している
• [ ] 設定ファイル・バックアップファイルが外部公開されていない

ひとつでも不安があれば、専門的な脆弱性診断での確認をおすすめします。

でも、本当に安全？自分では見つけられない穴がある

基本的な対策をすると「これで安心だ」と満足してしまいがちです。しかし、自分で玄関や窓の鍵をすべてかけた「つもり」でも、プロの泥棒は屋根裏や床下など、思いもよらない場所から侵入する方法を知っています。

Webサイトのセキュリティも同じで、プロの目で見なければ分からない「隠れた弱点」が、実はたくさん潜んでいる恐れがあるのです。

サイバー攻撃の手口は日々進化している

もう一つの問題は、攻撃手口が日々巧妙に進化していることです。昨日まで安全だった設定や仕組みが、今日にはもう通用しなくなっている、ということもあり得ます。

新しい攻撃方法が次々と生まれる中で、そのすべてを追いかけて対策するのは、専門家でもない限り正直なところ不可能です。だからこそ、セキュリティの専門家による「診断」を受けることが理想的です。専門家はあなたのサイトを攻撃者の視点で調査し、自分では気づけなかった弱点を洗い出してくれます。

Webアプリ全体の診断観点はWebアプリケーション脆弱性診断に、OWASP Top 10の確認はOWASP Top 10セキュリティチェックにまとめています。

専門家への依頼はハードルが高い？AI診断という新しい選択肢

とはいえ、専門家に診断を依頼するとなると費用が高額になりがちですし、見積もりのやりとりや日程調整に時間がかかることも少なくありません。「必要なのは分かっているけれど、なかなか手が出しにくい」というのが、多くの中小企業の本音ではないでしょうか。

そこで注目されているのが、AI技術を活用したセキュリティ診断です。AIが自動的にサイトの弱点を検出してくれるため、専門家に依頼する場合と比べて費用を抑えながらスピーディーに診断を受けられます。その一つが『セキュリティー診断さん』です。

AIセキュリティ診断でここまで分かる！

専門的なセキュリティ診断を受けると、具体的にどんな良いことがあるのでしょうか。ここでは『セキュリティー診断さん』の特徴を例にご紹介します。

実際の攻撃者の手口であなたのサイトをテスト

『セキュリティー診断さん』は、まるで本物の攻撃者があなたのサイトに侵入を試みるように、様々な角度から弱点を探します。表面的なチェックだけでなく、実際の攻撃者が使うのと同じような手口でテストするのです。

政府が推奨するセキュリティ基準以上の項目を網羅的にチェックするので、「こんなところまで見てくれるの？」という隠れた弱点を発見できる可能性が高まります。もちろん、実際にサイトを壊したりデータに影響を与えたりすることはありません（既定では負荷の高い能動的攻撃は行いません）。あくまで「もし攻撃されたらどこが危ないか」を安全な方法で確認します。

専門知識がなくてもすぐに始められる手軽さ

申し込みは専門知識がなくても手軽にでき、決済後に簡単な方法でサイトの所有者確認をするだけで、最短即日で診断がスタートします。所有者確認も画面の指示に沿って進めるだけです。掲載価格がそのまま適用される明朗会計なので、見積もりを待つ時間もありません。

分かりやすい報告書で、次の一歩が明確に

診断後に届く報告書は、単に「ここに弱点がありました」だけではありません。見つかった弱点一つひとつに「危険度」のランク付けがされているので、「どこから手をつければいいの？」と迷うことなく、最も危険な部分から順番に対策を進められます。

気になる費用は？

セキュリティー診断さんは単発1サイト50,000円（税別）から、年間プランは60,000円/年からの明朗会計です。見積もり不要で、掲載価格のまま申し込めます。

• 費用の相場と決まり方 → 脆弱性診断の費用・相場
• プラン一覧 → 料金プラン
• 個別相談 → お問い合わせ

よくある質問

Q: WordPressとDrupalで診断内容は変わりますか？

はい。利用者の多いWordPressはログイン総当たり・プラグイン由来の脆弱性、Drupalはコア/モジュールの更新遅れと権限設定が主な確認ポイントです。当サービスは使用CMSに応じて確認観点を調整します。

Q: SaaS型（WordPress.com・Wix等）でも診断できますか？

独自実装したテーマ・カスタムスクリプト・連携APIは診断対象になります。プラットフォーム本体の脆弱性はベンダー側の責任範囲です。

Q: 診断でサイトが落ちる心配はありませんか？

既定では負荷の高い能動的攻撃（DoSなど）は行いません。本番影響が懸念される項目は事前に共有し、実施可否を確認します。

Q: 費用はいくらですか？

単発1サイト50,000円（税別）から、年間プランは60,000円/年からです。見積もり不要の明朗会計で、追加費用は発生しません。

Q: 診断開始までどのくらいかかりますか？

決済とサイト所有確認の完了後、最短即日〜3営業日で着手します。所有確認は画面の指示に沿って進めるだけで、専門知識は不要です。

まとめ：CMSサイトを守るための賢い第一歩

CMSは本当に便利ですが、その人気と手軽さゆえに、常にサイバー攻撃の危険と隣り合わせです。パスワードの強化やこまめな更新といった自分でできる対策はもちろん重要ですが、それだけでは防ぎきれない巧妙な攻撃が増えているのも事実です。

まずは、専門的な目であなたのサイトの現状をチェックすることが、将来の大きなトラブルを防ぐ第一歩となります。『セキュリティー診断さん』なら、専門知識がなくても、見積もり不要の明朗会計で手軽に始められます。

情報漏洩などのセキュリティ事故で会社の信用を失ってからでは取り返しがつきません。あなたのビジネスと大切なお客様を守るための対策を、今日から始めてみませんか？

セキュリティー診断さん

ヨシ！まずはうちのサイトが本当に安全か、診断でチェックしてみるよ！(๑•̀ㅂ•́)و✧