アイキャッチ.png)
WordPressサイトの安全性を維持するためには、常にプラグインを最新の状態に保つことが不可欠!
どんなに機能が充実したWordPressサイトも日ごろのメンテナンスを行っては意味がありません。
脆弱性情報をチェックしてあなたのサイトのセキュリティをグングン高めていきましょう!
WordPressのプラグイン更新を怠るとどうなる?
WordPressのプラグインを定期的に更新しないと、サイトがさまざまなリスクにさらされます。
まず、古いプラグインにはセキュリティ脆弱性が存在することがあり、これが悪意のある攻撃者に利用されると、サイトがハッキングされる可能性が高まります。
ハッキングされると、データの漏洩やサイトの改ざん、さらにはサイトの完全な乗っ取りなどの深刻な問題が発生する可能性があります。
危険度の高い脆弱性が発見されたプラグイン一覧(2025年1月末現在)
| プラグイン名 | バージョン | 脆弱性内容 |
|---|---|---|
| Media Manager for UserPro | 3.11.0以下 | 認証されていない任意のオプションの更新に対する承認が不足 |
| iControlWP – Multiple WordPress Site Manager | 4.4.5以下 | PHPオブジェクトインジェクション |
| MultiVendorX – The Ultimate WooCommerce Multivendor Marketplace Solution | 4.2.14以下 | 認証されていない制限付きローカル ファイルのインクルード |
| Morkva UA Shipping | 1.0.18以下 | 認証されていないローカルファイルのインクルード |
| ThemeREX Addons | 2.32.3以下 | 認証されていない任意のファイルのアップロード |
| WPBookit | 1.6.9以下 | 認証されていない任意のファイルのアップロード |
| Bootstrap Ultimate | 1.4.9以下 | 認証されていない制限付きローカルファイルのインクルード |
| WPBot Pro WordPress Chatbot | 13.5.4以下 | 認証されていない任意のファイルのアップロード |
| AdForest | 5.1.8以下 | 認証バイパス |
| RealHomes | 4.3.6以下 | 認証されていない権限昇格 |
| Easy Real Estate | 2.2.6以下 | 認証されていない権限昇格 |
| Adifier System | 3.1.7以下 | 認証されていない任意のパスワードリセット |
| Background animation blocks | 2.1.5以下 | 認証されていないローカルファイルのインクルード |
| MyAnime Widget | 1.0以下 | クロスサイトリクエストフォージェリによる権限昇格 |
| Quick Count | 3.00以下 | 認証されていないPHPオブジェクトインジェクション |
| Multi Uploader for Gravity Forms | 1.1.3以下 | 認証されていない任意のファイルのアップロード |
| user files | 2.4.2以下 | 認証されていない任意のファイルのアップロード |
| Post Grid and Gutenberg Blocks | 2.3.3以下 | 認証されていない権限昇格 |
| Paid Membership Subscriptions – Effortless Memberships, Recurring Payments & Content Restriction | 2.13.7以下 | 認証バイパス |
| Homey Login Register | 2.4.0以下 | 認証されていない権限昇格 |
| GiveWP – Donation Plugin and Fundraising Platform | 3.19.3以下 | 認証されていないPHPオブジェクト インジェクション |
| Post Grid Master | 3.4.12以下 | 認証されていないローカル PHPファイルのインクルードに対する承認 |
| WordPress File Upload | 4.24.15以下 | 認証されていないリモートコード実行、任意のファイルの読み取り、任意のファイルの削除 |
| 4ECPS Web Forms | 0.2.18以下 | 認証されていない任意のファイルのアップロード |
| FAT Event Lite | 1.1以下 | 認証されていないローカル ファイルのインクルード |
| School Management System – SakolaWP | 1.0.8以下 | 認証されていない権限昇格 |
| PayU CommercePro Plugin | 3.8.3以下 | 認証されていない権限昇格 |
| SEO LAT Auto Post | 2.2.1以下 | ファイルの上書き/アップロードの承認 (リモート コード実行) |
| Themes Coder – Create Android & iOS Apps For Your Woocommerce Site | 1.3.4以下 | パスワード変更/アカウント乗っ取り/権限昇格への安全でない直接オブジェクト参照 |
| Fancy Product Designer | 6.4.3以下 | 認証されていない任意のファイルのアップロード |
| Ach Invoice App | 1.0.1以下 | 認証されていないローカル ファイルのインクルード |
| Dynamics 365 Integration | 1.3.23以下 | 認証された (コントリビューター以上) リモート コード実行と Twig サーバー側テンプレート インジェクションによる任意のファイルの読み取り |
| ARPrice | 4.0.3以下 | 認証されていないPHPオブジェクトインジェクション |
| PlainInventory | 3.1.6以下 | 認証されていないPHPオブジェクトインジェクション |
| Locatoraid Store Locator | 3.9.50以下 | 認証されていないPHPオブジェクト インジェクション |
| WPGuppy | 1.1.0以下 | 認証されていないPHPオブジェクトインジェクション |
| Private Messages for UserPro | 4.10.0以下 | 認証されていないローカルファイルのインクルード |
| JobBoard Job listing | 1.2.6以下 | 認証されていない任意のファイルのアップロード |
プラグインの更新なら、お任せください!
弊社は2014年から10年間、WordPressを専門に取り扱っている会社です。
どんなご質問にも丁寧にサポートいたしますので、安心してお任せください!
メルマガ登録で、最新情報をキャッチ!
WordPressの使いこなし術、プラグインの活用法、トラブル対策など、サイト運営に役立つ情報を月1でお届けしています。
「知らなかった…!」では済まされない大切なポイントを、今すぐチェックしませんか?
ABOUT ME
アイキャッチ-640x360.png)
アイキャッチ-640x360.png)
アイキャッチ-4-640x360.png)
