お役立ち記事

使っていないWordPressや古いプラグインの放置は危険?

WordPressを放置すると、本体だけでなく、使っていない WordPress や古いプラグインが危険の入口になることがあります。残置環境で確認したいポイントを整理します。

「WordPress を使っているらしいが、どこを見ればよいかわからない」 「今のサイトは普通に見えるが、昔の WordPress が残っていそう」 「古いプラグインを消してよいのか判断できない」

こうした状態は、 表から見えるホームページに問題がなくても、 裏側では少しずつ不安が大きくなっていることがあります。

WordPress で本当に怖いのは、 今見えている本番サイトだけとは限りません。 使っていない管理画面や古いプラグインが保守対象から漏れていると、 気づかれないまま危険の入口になることがあります。

この記事では、WordPress を放置すると何が危ないのか、 特に 使っていない WordPress や古いプラグインが残っている状態 に絞って、 どこを確認すべきかを整理します。

今使っているサイトより「残っているもの」が危ないことがある

本番サイトは日々見られているため、 少なくとも「表示がおかしい」といった変化に気づきやすいです。

一方で、 使っていない WordPress や放置された管理画面は、

  • 誰も定期的に見ていない
  • いつから残っているか曖昧
  • 更新や保守の対象から漏れやすい
  • 消してよいのか判断がつかない

といった状態になりやすくなります。

そのため、 今見えているホームページよりも、 残置環境の方が気づかれないまま危険の入口になりやすい のです。

なぜ古いプラグインや残置 WordPress が危ないのか

WordPress が危険なのではなく、 状態を把握しないまま放置されること が問題です。

特に古いプラグインや使っていない WordPress は、

  • 更新の対象から外れやすい
  • 誰が管理しているか曖昧になりやすい
  • 本番サイトと違って日常的に見られない
  • 何か起きても「存在自体」に気づくのが遅れやすい

という特徴があります。

つまり、 「今見えているサイトは普通だから大丈夫」とは言い切れません。 裏側に残っているものも含めて見ないと、 危険の入口を見落としやすくなります。

よくある残り方

使っていない WordPress や古いプラグインは、 意外と自然に残ってしまいます。

たとえば、

  • リニューアル前の旧サイトがサーバー内に残っている
  • 過去に試作したページがサブディレクトリに残っている
  • 担当者が追加したプラグインを誰も整理していない
  • 今は使っていないフォームや投稿機能がそのまま残っている
  • 制作会社や担当者が変わり、管理画面だけ引き継がれていない

こうした状態は、 表から見るだけでは気づきにくいです。

実際に、 放置されたWordPressが会社サイト全体を巻き込んだ実例 のように、 「使っていないものが残っていた」ことが全体の不安につながるケースもあります。

確認したい場所

「WordPress が危ないかどうか」を考える前に、 まずは何がどこに残っているのかを確認したいところです。

見直しの入口としては、次のような点があります。

  • 会社のホームページがどの仕組みで動いているか
  • サーバー内に旧サイトや別サイトが残っていないか
  • 使っていないプラグインやテーマがないか
  • 誰が管理ユーザーを持っているか
  • 更新や保守の担当が今も明確か
  • リニューアル前の残置物がそのままになっていないか

自分で全部を判断する必要はありません。 まずは、 何が残っていそうか、どこがわからないか を整理するだけでも十分です。

まず確認したいポイント

何から見ればよいかわからない場合は、 次のような順番で整理すると進めやすいです。

  1. 今公開中のサイトが WordPress かどうかを確認する
  2. サーバー内やサブディレクトリに旧サイトが残っていないかを見る
  3. 使っていないプラグインやテーマがないかを確認する
  4. 管理ユーザーや更新担当が今も有効かを確認する
  5. 消してよいものと、保留すべきものを切り分ける

この段階では、 技術的に全部を理解する必要はありません。 「何が本番で、何が残置物か」を分けるだけでも前進です。

すぐ削除すればよいとは限らない

残っている WordPress やプラグインが気になっても、 いきなり削除すればよいとは限りません。

理由は、

  • 今も一部のページがそこを参照しているかもしれない
  • どの管理画面が本番と関係しているか曖昧なことがある
  • 旧サイトだと思っていたものが、実は別用途で使われている場合がある

からです。

大切なのは、 「残っているから即削除」ではなく、 何が本番に関係していて、何が完全な残置物なのかを切り分けること です。

古いホームページ全体をどう判断するか迷っている場合は、 古いホームページはリニューアルすべき? も参考になります。

SSL証明書の期限切れで「保護されていない通信」と出ている場合は、WordPressの更新より先にSSL警告の原因と対処を確認してください。管理会社やログイン情報が曖昧な場合は、ホームページの管理会社がわからないときの確認項目から棚卸しできます。

こんなときは優先して整理したい

次のような状態に心当たりがあるなら、 残置環境の整理を後回しにしない方が安心です。

  • 旧サイトが残っていそうだが、正確な場所がわからない
  • 誰が管理者なのか把握できていない
  • プラグインやテーマの数が多く、使っているものが不明
  • リニューアルの履歴が複雑で、古い仕組みが混在していそう
  • 何かあったときの相談先が曖昧

すでに不審な表示や誘導がある場合は、 サイトが改ざんされたかも? で初動の考え方を確認してください。

よくある質問

WordPressを更新しないとどうなりますか?

本体やプラグインの古いバージョンには、すでに知られている弱点(脆弱性)が残っていることがあります。放置期間が長いほど、その弱点を狙った不正アクセスや改ざんのリスクが高まります。すぐに被害が出るとは限りませんが、危険な状態が続くこと自体が問題です。

自分のサイトがWordPressかどうか確認する方法はありますか?

ページのソースに wp-content という文字列が含まれるかどうかが、簡易的な確認方法のひとつです。ただし、見つからなくてもWordPressの場合があるため、不明な場合は制作会社や管理担当に確認するのが確実です。

使っていないWordPressやプラグインは、すぐ削除してよいですか?

すぐ削除するのはおすすめしません。今の公開ページが参照していたり、フォームだけ旧環境を使っていたりすることがあります。まず「何が本番に関係していて、何が完全な残置物か」を切り分けてから、削除や保留を判断してください。

心当たりがある方へ

「WordPress を使っているかどうかも曖昧」 「使っていないものが残っていそうだが、自分では切り分けきれない」

そんな場合は、 今見えているページだけでなく、 残っている環境も含めて棚卸しすること に意味があります。

ホームページまもるくん運営者 中沢孝幸の写真

運営者情報

中沢 孝幸

屋号 ホットスペース / Web制作・運用歴 20年以上

ホームページの問題は、明らかに壊れてから初めて気づかれることが少なくありません。20年以上にわたりWeb制作・運用に携わるなかで、放置されたWordPressが改ざんなどの実害につながる現場も見てきました。

WordPressの保守・整理、改ざんや不正アクセスの調査・復旧、サーバーや旧環境の整理を中心に、長年の現場経験と最新のAIを組み合わせて、全国からオンラインで対応しています。大きな問題になる前の、「なんだか心配」という段階で現状を整理できる相談先をつくりたいと考え、このサービスを運営しています。

運営者と発信方針をくわしく見る →