アメリカ発の最新WordPressセキュリティ動向と日本サイトへの影響
WordPressを取り巻くサイバー攻撃は、アメリカを中心とした英語圏のセキュリティ企業が発表した情報を基点に、世界へ一気に広がります。特に2024〜2025年は、プラグイン脆弱性の悪用、サプライチェーン攻撃、ゼロデイ攻撃が急増しており、日本のWordPressサイトも他人事ではありません。
最近観測された重大脆弱性・攻撃
King Addons for Elementor(CVE-2025-8489)
管理者アカウントを認証なしで作成できる致命的な脆弱性。実際に数万件以上の不正アクセス試行が確認され、現在も攻撃が続いています。Elementor利用サイトは特に注意が必要です。
Sneeit Framework(CVE-2025-6389 / RCE)
認証不要で任意のPHPコードを実行できる危険性が指摘されており、実際に侵害例が多数報告されています。テーマの内部フレームワークとして利用されているケースもあり、気付かず使用している可能性もあります。
Post SMTP プラグイン(40万サイト影響)
メールログへ不正アクセスされ、管理者アカウントが乗っ取られる危険性あり。日本でも導入事例が多いプラグインのため、非常に危険。
W3 Total Cache(CVE-2025-9501)
100万サイト以上が影響。キャッシュプラグイン経由でコマンドが実行される可能性があり、サーバー全体が侵害される恐れがあります。
GravityFormsにおけるサプライチェーン攻撃
正規配布物にマルウェアが混入するという異常事態。開発元が突破された可能性が指摘され、世界的に大きなニュースとなりました。
WordPress重大インシデント年表(2024〜2025)
King Addons for Elementor の重大脆弱性。管理者アカウント作成攻撃が爆発的に増加。
Sneeit Framework のRCE脆弱性。認証なしでPHP実行され、乗っ取り被害が拡大。
1.6億件の攻撃が48時間で観測。古いプラグインを狙った自動攻撃が世界中で発生。
Post SMTP の脆弱性が悪用され、管理者アカウントが乗っ取られる事例が多発。
W3 Total Cache にコマンドインジェクション脆弱性。100万サイト超が影響。
GravityForms 公式配布物にマルウェア混入。サプライチェーン攻撃として話題に。
年間8000件超のWordPress脆弱性が報告。過去最多を記録。
WPForms、Backup系プラグイン、セキュリティ系プラグインなどに深刻な脆弱性が頻発。
日本のサイト運営者が取るべき対策
- 不要プラグインは必ず削除する(無効化では不十分)
- アップデートは最短で実施する
- 管理者アカウントに見知らぬユーザーがいないか確認
- WAF・ファイル変更検知・ログ監視の併用
- バックアップは毎日自動化する
- wp-config.php など重要ファイルの改ざんに注意
WordPress救急隊からのご案内
WordPress救急隊では、脆弱性調査、マルウェア駆除、ハッキング復旧、プラグイン更新、PHPバージョンアップ、テーマ修復までワンストップで対応しています。感染の疑いがある場合はお早めにご相談ください。