※当サイトでは、正確かつ迅速な情報発信のためAIを補助ツールとして活用しています。
はじめに
このサイト、実は2013年からずっと同じ環境で動いていました。
PHP 5.6 + WordPress 3.1.4 という構成のまま、途中でコンテンツの更新はあったものの、システムのバージョンは長年そのまま。「動いているから触らない」という判断のもと、気づけば10年以上が経っていました。
そんな状態に終止符を打つきっかけになったのは、2026年に発生した不正アクセス被害です。この記事は、その一連の対応記録と、最終的にmicroCMSへ移行するまでの経緯をまとめたものです。
異変の始まり——最初は「システムエラー」だと思っていた
ある日突然、自社のトップページが表示されなくなりました。
最初はサイバー攻撃だとは思っていませんでした。「何かのエラーかな」と思いながらWordPressの管理画面にアクセスすると、見覚えのない不正なユーザーアカウントが追加されているのを発見。手元のバックアップデータで一時的に復旧させ、その場をしのぎました。
しかしこれは、長い戦いの始まりに過ぎませんでした。
攻撃の認識——いたちごっこの日々
しばらくして、サイトの「新着情報」にオンラインカジノへ誘導する不審な記事が勝手に投稿されているのを発見しました。ここでようやく「これは攻撃だ」と認識しました。
入り口になりそうな不要なプラグインを削除して対応しましたが、その後も index.php が書き換えられるなど、攻撃は断続的に続きました。
問題の根本は明確でした。PHP 5.6はすでにセキュリティサポートが終了しており、利用していたサーバー(WebARENA)の制約上、PHPバージョンのアップグレードも困難。無理に変更するとサイト全体が真っ白になる(WSOD)リスクがある状態でした。
本番環境を触らずに「別荘」を建てる
本番サイトを直接修正するリスクが高かったため、サブドメイン上にテスト環境(別荘)を構築するという方針を取りました。
2011年以来の記事データはローカルにバックアップして安全に確保。別荘にはWordPress 6.7.1をインストールし、古いシステムへのリンクは一時的に静的HTMLページに置き換えて、お客様が不正なページに誘導されないよう応急処置を施しました。
また、旧環境では引き続き攻撃が続いており、3月9日に不正ファイルを削除したにもかかわらず、翌10日にはまた新たなファイルが設置されていることを16日に確認。サーバーのhomeディレクトリのあちこちに不正なPHPファイルが撒かれており、徹底的な探索と削除作業を行いました。
3月17日にはFTPのIPアドレス制限を実施。自社のIPアドレスからしかサーバーにアクセスできないよう設定し、外部からの侵入経路を物理的に遮断しました。
根本的な解決策——脱WordPressへ
一連の対応を通じて、WordPressを使い続けること自体のリスクが改めて浮き彫りになりました。WordPressは世界的なシェアの高さゆえにサイバー攻撃の標的になりやすく、古いバージョンのまま維持するのはリスクが大きすぎると判断しました。
そこで検討したのが、Next.js + microCMS という構成への移行です。
microCMSは日本製のHeadless CMSで、コンテンツの管理画面と閲覧者が見る画面を完全に切り離せる点が特徴です。WordPressのようにPHPがサーバー上で直接動くわけではないため、今回のような改ざん被害のリスクを根本から排除できます。
比較ポイント | WordPress(旧) | microCMS(新) |
|---|---|---|
PHPバージョン問題 | 影響あり(PHP 5.6) | 関係なし |
攻撃リスク | 高い(世界的シェアが標的に) | 大幅に低減 |
サーバー管理 | 自前で必要 | 不要(SaaS) |
表示速度 | 遅い(旧サーバー) | 静的生成で高速化 |
セキュリティ管理 | 自己責任 | microCMS側が担保 |
また、インフラもより高速で管理しやすいサーバー(エックスサーバー等)への移行を進めています。
まとめ
2013年から変わらなかった環境が、不正アクセスという形で限界を迎えました。PHP 5.6のEOL、WordPress 3.1.4の脆弱性、サーバーの制約——それぞれは把握していても後回しにしてきた問題が、一気に顕在化した出来事でした。
新しい環境では二度と改ざんに怯えないことを最優先に、microCMSとモダンなフロントエンドの組み合わせで運用していきます。今後も技術的な知見や構築の過程を発信していければと思いますので、引き続きよろしくお願いします。