シェアが高いこと

WordPressは世界中のWebサイトの約35%を占めており、同じCMS（Contents Management System）の中では約62%のシェアを誇っています（W3Techs調べ）。シェア率が高いということは、利用しているユーザーが多く、攻撃者からすればターゲットとして狙えるWebサイトが多く存在する状態といえるでしょう。

オープンソースであること

WordPressはオープンソースのツールで、誰でもカスタマイズして利用できます。オープンソースとはプログラムのソースを公開しているという意味であり、プログラムの設計が詳しく見られる状態にあることから、セキュリティ的に弱い部分（脆弱性）を見つけやすいということです。

初期設定に脆弱性があること

WordPressの管理画面のURLはデフォルトでは固定化されています。そのため、WordPressを使ったことのある人なら、簡単にWordPressを利用しているWebサイトの管理画面へアクセスすることが可能です。もちろん、IDとパスワードが分からなければログインできませんが、管理画面へ簡単にアクセスできる点は、WordPressが狙われやすい理由の一つとなります。

WordPress本体に脆弱性があること

WordPress本体の主な脆弱性にREST APIが挙げられます。REST APIはWordPressの使い勝手をよりよくするために実装された機能ですが、投稿IDの検証不備が原因で権限のないコンテンツの内容を書き換えることが可能になっていました。特定の内容を含んだリクエストをGETまたはPOSTデータとして攻撃したいURLに送ることで、コンテンツの改ざんが可能になります。

プラグインに脆弱性があること

WordPressのプラグインは、機能を追加するための拡張機能です。必要なプラグインをインストールし有効化することで、WordPressに機能を追加できます。しかし、プラグインは世界中の不特定多数の人が作成しているため、セキュリティが不十分なものが多々あります。そのため、脆弱なプラグインがマルウェア感染等のリスクを高めていると言われています。

まとめ

WordPressはシェア率が高く、オープンソースのため脆弱性が見つけやすく、初期設定やプラグインにもセキュリティの問題があるため、攻撃対象となりやすいということです。