【年末年始に急増】WordPress脆弱性速報（管理者乗っ取り・RCE）と今すぐやる対策

直近の注目アラート

Dokan Pro：認証不備（Missing Authorization）による機密情報アクセスの恐れ
- 影響：Dokan Pro 4.1.3以下
- 概要：未認証ユーザーが、本来アクセスできない情報に到達する可能性
- 推奨：修正版（4.2.0）以降へ更新（利用中の場合は優先度高）
King Addons for Elementor：未認証で管理者権限を得られる恐れ（権限昇格）
- 概要：未認証のまま管理者ロール指定が可能になり得るため、管理者作成→サイト乗っ取りに直結し得る
- 推奨：修正版へ即更新＋管理者ユーザーの棚卸し（不審アカウント確認）
Sneeit Framework：RCE（リモートコード実行）の恐れ
- 概要：未認証で任意コード実行に繋がる可能性があり、バックドア設置／管理者作成に悪用され得る
- 推奨：影響バージョン確認→修正版へ更新（更新できない場合は一時停止も検討）
Advanced Custom Fields: Extended（ACF Extended）：RCEの恐れ（影響範囲が大きい可能性）
- 概要：未認証で任意コード実行に繋がる可能性があり、改ざん・バックドア・管理者作成に発展し得る
- 推奨：対象バージョン確認→修正版へ更新（サイト数が多いほど優先度を上げる）

ポイントは「更新」と「侵害痕跡チェック」をセットで回すことです。入口を塞いでも、すでに侵害されていればバックドア等が残る可能性があります。

① 対象プラグインの有無とバージョン確認（管理画面 → プラグイン一覧）
② 更新前にバックアップ（ファイル＋DB。可能なら外部にも保管）
③ 可能なら即アップデート（本体／テーマ／プラグイン）
④ 侵害痕跡の簡易点検
- 管理者ユーザーに不審な追加がないか（知らない管理者が増えていないか）
- /wp-content/ 配下などに、最近更新された不審なPHPファイルがないか
- .htaccess に不審なリダイレクト／書き換えがないか
- トップや商品ページで外部サイトへ飛ぶ／不審なJSが混入していないか
⑤ WAF・セキュリティプラグインの稼働確認（停止／学習モード放置がないか）
⑥ パスワード・鍵の棚卸し（WP管理者、FTP/SFTP、サーバーパネル、DB、メール）

もし「不審な管理者がいる」「改ざんや不正リダイレクトが疑われる」場合は、隔離（メンテ化）→調査→復旧→再侵入防止へ切り替えるのが安全です（更新だけで設置済みの不正ファイルが消えるとは限りません）。

直近は、人気プラグインを起点にした未認証の権限奪取やRCEが増え、放置するとサイト乗っ取りへ直結し得ます。最短距離は、プラグイン棚卸し → バックアップ → 即時更新 → 侵害痕跡チェックです。

「対象か判断できない」「更新が怖い」「すでに挙動がおかしい」場合は、無理に進めず、隔離（メンテ化）→調査→復旧の体制を先に整えるのが安全です。