コンテンツを堅牢に残すことは、文化を守ることだ

友人の写真家がいる。

彼のやっていることは、普通の写真家とは少し違う。撮影対象の地に何度も通い、地域の人々と時間をかけて対話し、その土地の歴史や社会的背景を読み解いたうえで、中心人物とその周囲の世界を一枚の写真に収める。仏教絵画の曼荼羅のような構図で、人と場所の関係を写し取る——そういうプロジェクトを20年以上続けてきた人だ。東日本大震災の被災地、広島、南北に分断されたキプロス。消えかけている記憶や、語られにくい歴史を、一枚の写真に焼き付ける仕事だ。

そんな彼が、長年WordPressで運営していたサイトを持っていた。作品のアーカイブだけでなく、制作の記録、各地での対話から生まれた言葉、展覧会ごとの文脈——20年近いプロジェクトの地層とも言える場所だった。

ある日、中国からの大規模な攻撃を受けて、そのサイトは壊滅した。

データベースは汚染され、ファイルには不審なコードが埋め込まれた。Googleのセーフブラウジングへのフラグは幸い免れたが、長年の蓄積が、あっという間に使い物にならなくなった。

写真そのものはローカルに残っていた。しかし、各地での撮影記録、キャプション、展示ごとの文脈、訪問者との言葉のやりとり——「一枚の写真に至るまでの物語」が、ごっそり消えた。彼の仕事は写真だけでは完結しない。その背景にある膨大な調査と対話の記録が、作品の一部だったからだ。

これが、私がWebセキュリティとコンテンツ保全に真剣に向き合うようになったきっかけだ。

毎日1万3,000サイトが消えている

これは比喩ではなく、統計だ。

Patchstackの2026年レポートによると、2025年に発見されたWordPressの脆弱性は11,334件——前年比42%増だ。そして毎日約1万3,000のWordPressサイトが何らかの攻撃を受けており、脆弱性が公開されてから悪用が始まるまでの中央値はわずか5時間だという。

5時間。管理者がメールに気づいて、パッチの内容を確認して、テスト環境で試して……なんてやっていたら、もう手遅れだ。

しかもこの状況は、AIの登場でさらに加速している。2025年、攻撃者はAIを使ってXSSペイロードを書き換えてセキュリティルールをすり抜けたり、SQLインジェクションのバリアントを自動生成したりするようになった。WordPressへのブルートフォース攻撃は前年比60%増だという。

攻撃の「工場化」が進んでいる。かつては技術者が手動で行っていたことが、今はAIエージェントが24時間365日、何千ものサイトを並列でスキャンしながら自動実行している。ターゲットを選ぶのではなく、当たり次第に試す。規模の暴力だ。

Thalesの2026年レポートでは、2025年のウェブトラフィックの53%以上がボットであり、そのうち悪意あるボットが全トラフィックの40%を占めるという。AI駆動のボット攻撃は前年比12.5倍に膨れ上がった。

ウェブを流れるデータの半分以上が、すでに人間ではない。

「プラグインを更新すれば大丈夫」という時代の終わり

WordPressのセキュリティについて語るとき、よく「プラグインを最新に保てば9割は防げる」という話が出る。これは今でも一定の真実を含んでいる。

しかし、もはやそれだけでは足りない。

2025年のWordPress脆弱性の46%は、開示された時点でまだ開発者がパッチを出していなかった。つまり「更新する」という選択肢自体が存在しない脆弱性が、全体の半数近くを占めていたということだ。

知っていても、防ぎようがない。

さらに問題は「既知の脆弱性を放置しているサイト」だけではなくなっている。Patchstackのレポートは、今後のWordPressのセキュリティリスクとして、AIで生成されたカスタムコードや、JavaScript・PHPパッケージとして外部から引き込まれた依存ライブラリなどを挙げている。これらは通常のプラグイン更新チャネルを通らないため、管理の死角になる。

WordPressのエコシステムが大きくなればなるほど、攻撃面も広がる。そしてその攻撃面のほとんどは、管理者の目に見えていない。

消えるのはデータではなく、記憶だ

ここで少し立ち止まって考えたいことがある。

WordPressサイトが攻撃される話をするとき、多くの文脈では「ビジネスへの損害」として語られる。SEOの毀損、収益の損失、復旧コスト。ある調査では、小規模ビジネスがセキュリティインシデントへの対応に要するコストは、2025年で12万ドルから124万ドルに上るという。

確かにそれは深刻な現実だ。しかし、金銭に換算しにくい損失がある。

個人の写真家のポートフォリオ。小さな地域の記録を続けてきたブログ。20年分の日記のように育てたウェブサイト。NPOが積み上げてきた活動の記録。地方の職人が残した技術の記録。

こういうコンテンツには、「復旧コスト」という概念がそもそも成立しない。失われたら、終わりだ。

ユネスコの「デジタル文化遺産の保全に関する憲章」は、「あらゆる形態における文化遺産の消滅は、すべての国の遺産の損失である」と宣言している。デジタルコンテンツもその例外ではない、という立場だ。

私はこの考えに共鳴している。

写真家の友人のサイトが壊滅したとき、失われたのはファイルではなかった。10年分の「見ていた」という事実、「感じていた」という記録、「伝えようとしていた」という意志——それが消えた。誰かの見方が、世界から消えた。

AIが変えた攻撃の「民主化」

もう少し技術的な話をする。

従来の大規模サイバー攻撃は、国家レベルあるいは高度に組織化された集団によるものが多かった。技術的なハードルが高かったからだ。しかし今は違う。

Malwarebytesは2026年のレポートで、2025年はサイバー犯罪が「AI駆動の未来へのシフトを開始した」年だったと分析している。AIエージェントが人間よりも高速に脆弱性を発見し、初の「AIによって指揮された攻撃」の事例が確認されたという。

中国をはじめとする国家・非国家アクターは、大規模なボットネットインフラを整備し、WordPressのような普及率の高いプラットフォームを集中的にスキャンしている。ターゲットは大企業だけではない。むしろ、防御が手薄な中小サイト、個人サイトが主な狩場だ。攻撃する側には、あなたのサイトの「価値」は関係ない。脆弱なサイトを制圧して、スパムの踏み台にしたり、マルウェアの配布拠点にしたりできれば十分なのだ。

友人の写真家のサイトも、おそらくそういう「踏み台」として狙われた。彼の写真に興味があったわけではない。

堅牢にする、とはどういうことか

では、具体的にどうすればいいのか。「プラグインを更新しろ」以上の話をする。

攻撃面を最小化する。 WordPressの脆弱性の91%はプラグインに由来する。使っていないプラグインは今すぐ削除する。プラグインの数は、リスクの総量だ。「入れっぱなし」が最も危ない。

ログイン経路を隠す・強化する。 /wp-adminや/wp-login.phpはデフォルトで全ボットが知っている。パスを変更し、2FAを必須にし、IPアドレス制限をかける。攻撃の97%は自動化されており、WordPressは毎分9万回の攻撃を受けているという推計もある。ボットが最初に試すのは、この入口だ。

バックアップを「本物」にする。 バックアップがあっても、同じサーバーに置いていたり、頻度が週1だったりすれば、実質的に意味がない。オフサイトへの日次バックアップ、最低3世代分の保持が最低ラインだ。攻撃を受けた後に「バックアップがあった」と気づいても遅い。

WAFを過信しない。 標準的なホスティングのファイアウォールは、WordPressへの脆弱性攻撃の87.8%を防げていないというデータがある。WAFは必要だが、それだけに頼る設計は危険だ。

WordPressに頼り続ける意味を問い直す。 これは最後の手段ではなく、最初に考えるべきことかもしれない。Astroのような静的サイトジェネレーターや、ヘッドレスCMSに移行することで、攻撃面を根本的に削減できる。動的なPHPが動いていなければ、SQLインジェクションもPHP実行の脆弱性も、そもそも成立しない。

コンテンツを守ることは、誰かの時間を守ることだ

友人の写真家の話に戻る。

彼は今も作品を作り続けている。現地での対話を重ねて、時間をかけて、一枚の写真に世界を収める仕事を。しかし「あのサイトにあった記録」は取り戻せない。各地で拾い集めた言葉、展示ごとの文脈、訪問者が残していったコメント——20年近いプロジェクトの「語られなかった部分」が、もうどこにもない。

彼の写真が「一枚で完結する」ように見えるのは、その背後に膨大な物語があるからだ。その物語の記録が消えたということは、作品の一部が消えたということでもある。

デジタルコンテンツは脆い。ファイルは消え、プラットフォームは死に、攻撃によって汚染される。しかし同時に、適切に守られたコンテンツは驚くほどの耐久性を持つ。静的なHTMLファイルは、適切に保存されれば数十年後にも読める。

問題は「守る気があるかどうか」だ。

毎分9万回の攻撃が来ているという現実を知っていて、それでも「まあ大丈夫だろう」と放置するのは、もはや無知ではなく怠慢だと思う。

あなたのサイトにあるコンテンツは、あなたの時間の結晶だ。誰かに読まれた言葉、誰かに見られた写真、誰かの役に立った情報——それは文化の断片だ。大げさに聞こえるかもしれないが、集合的に見れば、ウェブは私たちの時代の記録装置だ。

その記録を守ることは、誰かの仕事であるべきだし、そのコストを払う価値は十分にある。

私がWordPressのセキュリティをライフワークとして取り組んでいる理由は、そこにある。技術的な問題を解決したいのではない。誰かの「残しておきたかったもの」を守りたいのだ。