中小企業のWebサイト、放置するとこうなる【2026年版・実被害まとめ】

「ホームページは作ったけど、その後は特に何もしていない」——そんな中小企業のWeb担当者・経営者の方は多いのではないでしょうか。

実は、放置されたWebサイトはサイバー攻撃の格好の標的になっています。2026年現在、WordPressの脆弱性は年間8,000件超が登録され、攻撃は24時間365日、自動化されたプログラムによって行われています。

今回は、実際に起きた被害事例をもとに「放置するとどうなるか」を具体的に解説します。

被害事例①　サイトが改ざんされ、アダルトサイトへ誘導された

兵庫県内の飲食店（WordPress使用）。更新を1年以上放置していたところ、ある日Googleで自社名を検索したら「このサイトは危険です」と表示されるようになった。

ページ内に見えない形で不正なリンクが大量に埋め込まれており、クリックするとアダルトサイトや詐欺サイトへ誘導される状態になっていた。

被害の影響：

• Googleの検索結果から実質的に排除された（数ヶ月間）
• 常連客から「怪しいサイトになってる」と連絡が来た
• 復旧・クリーンアップ費用：約15万円

被害事例②　問い合わせフォームがスパムの踏み台にされた

大阪府の士業事務所（WordPress使用）。問い合わせフォームのプラグインに脆弱性があり、攻撃者にスパムメール送信の踏み台として悪用された。

被害の影響：

• 顧客へのメールが届かなくなった（スパム判定）
• ブラックリスト解除の申請・対応に約2週間
• その間の機会損失は計り知れず

被害事例③　ECサイトの顧客情報が流出した

京都府のアパレル系EC（WordPress + WooCommerce）。使用していたプラグインに既知の脆弱性があったが、約8ヶ月間アップデートされていなかった。攻撃者はこの脆弱性を突いて管理画面に侵入し、顧客情報約500件を抜き取った。

被害の影響：

• 個人情報保護委員会への報告義務が発生
• 顧客への謝罪・対応コスト：数十万円
• ブランドイメージへのダメージ（売上への影響が長期化）

なぜ中小企業が狙われるのか

「うちは小さい会社だから狙われない」——これは大きな誤解です。攻撃者はターゲットを人間が選ぶのではなく、プログラムが自動で脆弱なサイトを探し回っています。有名・無名、大企業・中小企業は関係ありません。

WordPressのシェアは全Webサイトの約40%。プラグインの脆弱性を突いた攻撃が攻撃全体の56%を占めており、アップデートを怠った瞬間から標的になり得ます。

放置サイトを守るための最低限の対策

① 月1回のアップデート

WordPress本体・プラグイン・テーマを最新バージョンに更新する。アップデート前にバックアップを取ることを忘れずに。

② WAF（Webアプリケーションファイアウォール）の導入

悪意あるアクセスを自動でブロックするツール。WordfenceなどのプラグインをインストールするだけでOK。

③ 定期的なバックアップ

万が一の際に復旧できるよう、週1回以上のバックアップを別の場所に保存する。

まとめ

放置されたWebサイトは「時限爆弾」です。被害が表面化したときには、すでに数ヶ月間攻撃を受け続けていたというケースも珍しくありません。

「自分で対応する時間がない」「何から手をつければいいかわからない」という場合は、BULLCOM Securityにご相談ください。月額9,800円からのWordPress保守プランで、アップデート・バックアップ・監視・月次レポートをまとめてお任せいただけます。まずはLINEで無料相談からどうぞ。