Wordfence が 2024 Annual WordPress Security Report を読んでみた。
ざっくり下記に意識を向けておく必要がありそうだ。
・2024年は脆弱性の公開数が大幅に増加。20025年にもパッチが当たっていないものがある。
・プラグインの脆弱性が、公開されたすべての脆弱性の 96% を占めている。
・脆弱性の多くは、アクティブインストールが少ないプラグイン/テーマに存在している。
・大量に悪意のあるリクエスト、特に XSS と SQLI が多かった。
・攻撃手法としてパスワート攻撃は全体的に現象傾向、ソフトウェアの脆弱性を狙った攻撃は増加傾向。
WordPress を利用するサイト管理者は FW、マルウェアスキャナー、脆弱性スキャナー、2要素認証などのセキュリティツールを利用してサイト保護をする必要がある。
膨大な数に圧倒されるが、適切な防御策(WAF、継続的な監視、迅速なパッチ適用など)が講じられていれば、大半は低リスクのまま。
公式はこちら。
https://www.wordfence.com/blog/2025/04/2024-annual-wordpress-security-report-by-wordfence
