2025年末〜2026年1月にかけて、WordPressサイトの「管理者アカウント乗っ取り」につながり得るプラグイン脆弱性の注意喚起が相次いでいます。特に、未ログインの第三者でも管理者権限を得られるタイプは、サイトの完全支配(改ざん・情報漏洩・マルウェア配布)に直結するため、利用有無の確認とアップデートを最優先で行ってください。
目次
今回の中心トピック
King Addons for Elementor(CVE-2025-8489 / 重要度: Critical)
影響:24.12.92〜51.1.14。未認証の攻撃者が登録機能の不備を突き、管理者権限のユーザーを作成できる恐れがあります。修正版は51.1.35以降(少なくともこれ以上へ)。すでに悪用が報じられており、緊急度が高いです。
「会員登録の仕組みを悪用されて、知らない人が“管理者”になってしまう可能性がある」という話です。
Post SMTP(CVE-2025-11833 / 重要度: Critical)
影響:3.6.0以前。未認証でメールログ(パスワード再設定メール等)を読まれ、結果として管理者アカウント乗っ取りにつながる恐れがあります。修正版は3.6.1以降。
「サイトが送ったメールの履歴(再設定メールなど)を盗み見されて、パスワードを変えられてしまう可能性がある」という話です。
想定される被害
- サイト改ざん(トップページ差し替え、スパム記事大量生成、勝手なリンク設置)
- 個人情報・問い合わせ情報の漏洩(フォームDB、メール転送設定など二次被害へ)
- マルウェア拡散(来訪者端末への誘導、フィッシングページ設置)
- 検索評価の低下(インデックス汚染、警告表示、広告審査落ち)
今すぐ取るべき一次対応チェックリスト
① 利用有無の確認
「King Addons for Elementor」「Post SMTP」を使っているか確認。使っている場合は、影響バージョンに該当しないかチェック。
② 直ちにアップデート
King Addons:51.1.35以降/Post SMTP:3.6.1以降へ。更新できない事情があるなら一時的に無効化も検討。
③ 管理者ユーザーの棚卸し
「ユーザー」一覧で、身に覚えのない管理者が増えていないか/最近作成された不審ユーザーがいないか確認し、発見したら削除・権限剥奪。
④ パスワード再設定・セッション強制ログアウト
管理者・編集者以上は全員、強力なパスワードへ変更。可能なら「全ユーザーの強制ログアウト」も実施。
⑤ 影響範囲の確認
直近のファイル更新、unknown PHP、wp-admin配下の不審ファイル、テーマ内の見覚えのないJS/PHP差し込みを確認。
⑥ 復旧前の現状バックアップ取得
触る前に現状をバックアップ(証跡保全)。その上で、クリーンなバックアップがあれば復元計画を立てる。
再発防止のポイント
- 不要なプラグイン・テーマは削除(停止ではなく削除。攻撃面を減らす)
- 更新運用のルール化(月1定例+緊急パッチは即日〜48h以内など)
- 2段階認証(2FA)(管理者は必須)
- WAF/ログイン防御(試行回数制限、国制限、/wp-login.php防御)
- バックアップの自動化+世代管理(オフサイト保管、復元テストまで)
- 監視(改ざん検知、ファイル差分、管理者ユーザー増加アラート)
FAQ
Q. 使っているか分からない。どこを見ればいい?
A. WordPress管理画面の「プラグイン」一覧で名称検索してください(King Addons / Post SMTP)。サーバー側からなら wp-content/plugins/ 配下にもフォルダがあります。
Q. アップデートできない時は?
A. ひとまず無効化し、代替プラグインへの切り替えや、復旧ウィンドウを確保して更新できる状態を作ってください。乗っ取り系は放置リスクが高いです。
Q. もう被害が出ているかの目安は?
A. 「知らない管理者がいる」「プラグインが勝手に増える」「トップが別ページに飛ぶ」「不審なJSが増える」「Search ConsoleにスパムURLが出る」などが代表例です。疑いがあれば早めに隔離・調査をしましょう。
