アイキャッチ-5.png)
WordPressサイトの安全性を維持するためには、常にプラグインを最新の状態に保つことが不可欠!
どんなに機能が充実したWordPressサイトも日ごろのメンテナンスを行っては意味がありません。
脆弱性情報をチェックしてあなたのサイトのセキュリティをグングン高めていきましょう!
WordPressのプラグイン更新を怠るとどうなる?
WordPressのプラグインを定期的に更新しないと、サイトがさまざまなリスクにさらされます。
まず、古いプラグインにはセキュリティ脆弱性が存在することがあり、これが悪意のある攻撃者に利用されると、サイトがハッキングされる可能性が高まります。
ハッキングされると、データの漏洩やサイトの改ざん、さらにはサイトの完全な乗っ取りなどの深刻な問題が発生する可能性があります。
危険度の高い脆弱性が発見されたプラグイン一覧(2025年5月末現在)
| プラグイン名 | バージョン | 脆弱性内容 |
| Acerola | 1.6.5 | 未認証のPHPオブジェクトインジェクション |
| Ads Pro Plugin | 4.88 | 未認証のローカルファイル取り込み |
| Ads Pro Plugin | 4.88 | 未認証のローカルファイル取り込み |
| Ajar in5 Embed | 3.1.5 | 未認証の任意ファイルアップロード |
| Avantage | 2.4.6 | 未認証のPHPオブジェクトインジェクション |
| Blog Designer PRO for WordPress | 3.4.7 | 未認証のローカルファイル取り込み |
| Blog Designer PRO for WordPress | 3.4.7 | 未認証のローカルファイル取り込み |
| BuddyBoss Platform Pro | 2.7.01 | Apple OAuth プロバイダー経由の認証回避 |
| Capie | 1.0.40 | 未認証のローカルファイル取り込み |
| Capie | 1.0.40 | 未認証のローカルファイル取り込み |
| Car Dealer | 1.6.6 | 未認証のPHPオブジェクトインジェクション |
| CoinPayments.net Payment Gateway for WooCommerce | 1.0.17 | 未認証のPHPオブジェクトインジェクション |
| CouponXL | 4.5.0 | 未認証の権限昇格 |
| Course | Builder | Online Course WordPress Theme < 3.6.6 – Unauthenticated PHP Object Injection |
| Crawlomatic Multipage Scraper Post Generator | 2.6.8.1 | 未認証の任意ファイルアップロード |
| DZS Video Gallery | 12.25 | 未認証のPHPオブジェクトインジェクション |
| Dash | 1.3 | 未認証のPHPオブジェクトインジェクション |
| Drag and Drop Multiple File Upload for WooCommerce | 1.1.6 | 未認証の任意ファイルアップロード(upload関数経由) |
| Echo RSS Feed Post Generator | 5.4.8.1 | 未認証の任意ファイルアップロード |
| Envolve Plugin | 1.0 | 未認証の任意ファイルアップロード(language_file と fonts_file経由) |
| Enzio – Responsive Business WordPress Theme | 1.1.8 | 未認証のローカルファイル取り込み |
| Essential Real Estate | 5.2.1 | 未認証のローカルファイル取り込み |
| Eventin | 4.0.26 | 認可不足による未認証の権限昇格 |
| Fish House | 1.2.7 | 未認証のPHPオブジェクトインジェクション |
| Frontend | Dashboard 1.0 | fed_wp_ajax_fed_login_form_post関数経由の認可不足による未認証の権限昇格(2.2.6) |
| Frontend Login and Registration Blocks | 1.0.7 | アカウント乗っ取りによる未認証の権限昇格 |
| Goodlayers Hostel | 3.1.2 | 未認証のPHPオブジェクトインジェクション |
| Goodlayers Hotel | 3.1.4 | 未認証のPHPオブジェクトインジェクション |
| Grand Tour | Travel Agency WordPress | 5.5.1 | 未認証のPHPオブジェクトインジェクション |
| Healsoul | 2.0.2 | 未認証のローカルファイル取り込み |
| HotStar – Multi-Purpose Business Theme | 1.4 | 未認証のPHPオブジェクトインジェクション |
| IMITHEMES Listing | 3.3 | 未検証のパスワードリセットによる未認証の権限昇格 |
| JP | Students Result Management System Premium 1.1.7 | 未認証の任意ファイルアップロード |
| JP | Students Result Management System Premium 1.1.7 | 未認証の任意ファイルアップロード |
| Jarvis – Night Club, Concert, Festival WordPress | 1.8.11 | 未認証のPHPオブジェクトインジェクション |
| Job | Listings 0.1 | register_action関数経由の未認証の権限昇格(0.1.1) |
| Kiamo – Responsive Business Service WordPress Theme | 1.3.3 | 未認証のローカルファイル取り込み |
| La Boom | 2.7 | 未認証のローカルファイル取り込み |
| Madara – Responsive and modern WordPress theme for manga sites | 2.2.2 | 未認証のローカルファイル取り込み |
| Medicare | 2.1.0 | 未認証のPHPオブジェクトインジェクション |
| Motors | 5.6.67 | パスワード変更やアカウント乗っ取りによる未認証の権限昇格 |
| Multiple | Themes by bslthemes <= Various Version | 未認証のローカルファイル取り込み |
| Nasa Core | 6.3.2 | 未認証のローカルファイル取り込み |
| OTP-less | one tap Sign in 2.0.14 | 任意メールアドレス更新によるアカウント乗っ取り・権限昇格(2.0.59) |
| Oxpitan | 1.3.1 | 未認証のローカルファイル取り込み |
| PGS Core | 5.8.0 | 未認証のPHPオブジェクトインジェクション |
| PSW Front-end Login & Registration | 1.12 | 認証回避 |
| PSW Front-end Login & Registration | 1.12 | 不十分な乱数値によるアカウント乗っ取り・権限昇格(customer_registration関数経由) |
| PeproDev | Ultimate Profile Solutions 1.9.1 | 認証回避によるアカウント乗っ取り(7.5.2) |
| Pix 4x sem juros – Pagaleve | 1.6.9 | 未認証のPHPオブジェクトインジェクション |
| Pix 4x sem juros – Pagaleve | 1.6.9 | 未認証のPHPオブジェクトインジェクション |
| Printcart Web to Print Product Designer for WooCommerce | 2.3.8 | 未認証の任意ファイルアップロード |
| Profitori | 2.0.6.0 | stocktend_objectエンドポイント経由の認可不足による未認証の権限昇格(2.1.1.3) |
| Real Time Validation for Gravity Forms | 1.7.0 | 未認証のローカルファイル取り込み |
| STAGGS | 2.11.0 | 未認証の任意ファイルアップロード |
| SUMO Affiliates Pro | 10.7.0 | 未認証の任意ファイルアップロード |
| Simple Business Directory Pro | 15.4.8 | 未認証の権限昇格 |
| Spreadsheet Price Changer for WooCommerce and WP E-commerce – Light | 2.4.37 | 未認証の権限昇格 |
| Spreadsheet Price Changer for WooCommerce and WP E-commerce – Light | 2.4.37 | 未認証のリモートコード実行 |
| StoreKeeper for WooCommerce | 14.4.4 | 未認証の任意ファイルアップロード |
| TI WooCommerce Wishlist | 2.9.2 | 未認証の任意ファイルアップロード |
| The Business | 1.6.1 | 未認証のPHPオブジェクトインジェクション |
| The Fashion – Model Agency One Page Beauty Theme | 1.4.4 | 未認証のPHPオブジェクトインジェクション |
| TicketBAI Facturas para WooCommerce | 3.18 | 未認証の任意ファイル削除 |
| Tourmaster | 5.3.8 | 未認証のローカルファイル取り込み |
| Umberto | 1.2.8 | 未認証のPHPオブジェクトインジェクション |
| WHMpress | <= 6.2-revision-9 | 未認証のローカルファイル取り込み |
| WP Event Manager | 3.1.49 | 未認証のローカルファイル取り込み |
| WP Job Portal | 2.3.1 | 未認証のローカルファイル取り込み |
| WP Pipes | 1.4.2 | 未認証の任意ファイル削除 |
| WP Smart Import | 1.1.3 | 未認証のローカルファイル取り込み |
| WPBookit | 1.0.2 | アカウント乗っ取りを伴うIDORによる未認証の権限昇格 |
| WPBookit | 1.0.2 | メールアドレス更新を伴うIDORによる未認証の権限昇格 |
| WPBot Pro WordPress Chatbot | 12.7.0 | 未認証のPHPオブジェクトインジェクション |
| WPCHURCH | 2.7.0 | 未認証のローカルファイル取り込み |
| WPFunnels | 3.5.18 | 未認証のPHPオブジェクトインジェクション |
| Wilmër | < 3.4.2 | 未認証のローカルファイル取り込み |
| Winnex | 1.3.2 | 未認証のローカルファイル取り込み |
| Winnex | 1.3.2 | 未認証のローカルファイル取り込み |
| WordPress Events Calendar Registration & Tickets | 2.6.0 | 未認証のPHPオブジェクトインジェクション |
| WordPress Social Login and Register | 7.6.10 | 未認証のローカルファイル取り込み |
| ZoomSounds | 6.91 | 未認証のPHPオブジェクトインジェクション |
| eMagicOne Store Manager for WooCommerce | 1.2.5 | 未認証の任意ファイル削除 |
| eMagicOne Store Manager for WooCommerce | 1.2.5 | 未認証の任意ファイルアップロード(set_image()経由) |
| miniOrange Discord Integration | 2.2.2 | 未認証のローカルファイル取り込み |
プラグインの更新なら、お任せください!
弊社は2014年から10年間、WordPressを専門に取り扱っている会社です。
どんなご質問にも丁寧にサポートいたしますので、安心してお任せください!
メルマガ登録で、最新情報をキャッチ!
WordPressの使いこなし術、プラグインの活用法、トラブル対策など、サイト運営に役立つ情報を月1でお届けしています。
「知らなかった…!」では済まされない大切なポイントを、今すぐチェックしませんか?
ABOUT ME
アイキャッチ-4-640x360.png)
アイキャッチ-640x360.png)
