また、2025年9月には、 WordPress 6.8.3 がリリースされ、コアの脆弱性(情報漏洩やクロスサイトスクリプティングなど)に対する修正が行われています。
2025年12月、WordPress コアの最新版として WordPress 6.9 がリリースされた。
WordPress 本体は、年に数回のセキュリティ/機能更新が続いているが、6.9 は特に以下の点で重要なバージョンとなっている。既存の旧バージョン利用者にはアップデートが強く促されました。
2025年に報じられた主なWordPressの脆弱性(テーマ/プラグイン含む)
| 公開日/報告時期 | 対象プラグイン等 | 脆弱性内容(概要) | 脆弱性ID/深刻度等 & 被害状況 |
|---|---|---|---|
| 2025年12月 | プラグイン King Addons for Elementor | 未認証ユーザーが管理者権限を登録時に指定でき、権限昇格 → 管理者アカウント取得が可能 | CVE-2025-8489, CVSS 9.8。実運用サイトで悪用中。公開後、48,400件超の攻撃試行をブロックされた報告あり。 (The Hacker News) |
| 2025年10月 | テーマ/プラグイン Service Finder Bookings(および関連テーマ) | 認証バイパス → 未認証でも任意アカウントでログイン可能 → 管理者権限取得可 | CVE-2025-5947, CVSS 9.8。報告以降 13,800回超の攻撃試行が確認されている。 (The Hacker News) |
| 2025年6月 | プラグイン OttoKit(旧 SureTriggers) | REST API の権限チェック不備/秘密鍵チェックの欠落 → 認証バイパスまたは管理者アカウントの不正作成 が可能 | CVE-2025-3102, CVSS 8.1。10万件以上インストールされており、複数サイトで深刻な被害の可能性。 (IoT OT Security News) |
| 2025年8月 | プラグイン Advanced Custom Fields (ACF) | HTMLインジェクションの脆弱性 — 入力された HTML がそのままレンダリングされる可能性あり | CVE-2025-54940。CVSS 低〜中(4.0付近)のものの、影響下ではページ改ざんやサイトの不正利用のリスク。 (jvn.jp) |
| 2025年 — ThimPress 系プラグイン wp pipes | 複数の脆弱性(パス・トラバーサル、SQLインジェクション、XSS など) | 任意ファイル読み込み/書き込み、SQL操作、XSS 等のリスク | 複数 JVN 登録 (例: JVNDB-2025-020801, JVNDB-2025-020781, JVNDB-2025-020623, JVNDB-2025-020627) など。 (jvndb.jvn.jp) |
2025年:WordPress の脆弱性は「プラグイン主体」で深刻化
- King Addons(CVE-2025-8489/権限昇格)
- Service Finder Bookings(CVE-2025-5947/認証バイパス)
- OttoKit(CVE-2025-3102/REST API 認可不備)
- ACF(CVE-2025-54940/HTML インジェクション)
- wp pipes(複数脆弱性)
→ 未認証攻撃・特権昇格・ファイル操作系の高リスク脆弱性が突出
その背景には「REST API や権限管理の弱点」が存在
- プラグイン作者による権限チェック実装のムラ
- WordPress API の複雑化
- サイトがプラグイン依存になりすぎている構造
- WordPress自体は頻繁にアップデートされており、コア部分は比較的堅牢ですが、プラグインやテーマは作者/メンテナンス状況が多様で、どうしても「穴」が生まれやすい構造。多くの2025年の問題もプラグイン・テーマが原因。 headless-cms.fenrir-inc.com
- 人気プラグイン/テーマや多くのサイトで使われるコンポーネントは、攻撃者から狙われやすい。たとえば Post SMTP は 40 万インストール、King Addons も数万規模の影響。 ロケットボーイズ
- 脆弱性が公開されたあとも、古いバージョンが放置されたままのサイトが多く、結果として「既知の穴」が繰り返し狙われやすい。 BleepingComputer
―― このような事情から、「WordPress = 安全」と過信すると危険。特にテーマ/プラグインの管理は注意が必要です。
被害の大きさ・実際の攻撃状況
- King Addons の脆弱性では、セキュリティ専門企業が 約50,000 回の悪用試行 を確認。多数のサイトで管理者権限乗っ取り可能。 SecurityWeek
- Post SMTP の脆弱性は 40 万サイトに影響。実際に攻撃が行われ、複数の乗っ取りやパスワードリセット攻撃の試みが検知されている。 ロケットボーイズ
- Service Finder Bookings の脆弱性については、2025年8月から攻撃が観測され、13,800 回以上の攻撃試行があった報告。成功率は不明だが、管理者アカウント乗っ取りの恐れがある。 The Hacker News
- また、RCE 脆弱性(Alone テーマ)については、公表前から攻撃が開始されていたという報告もあり、安全対策の遅れが深刻な問題になっている。 BleepingComputer
これらから、多くのサイトで「管理者権限の乗っ取り」「改ざん・マルウェア設置」「情報漏洩」「管理不能な状態」などの深刻な被害に繋がる可能性が高いことがわかります。
こうした脆弱性を防ぐための対策まとめ
以下は、一般的かつ効果的な防御策 — 2025年の傾向から導かれる「必須の安全対策」です:
- プラグイン/テーマを最小限にする
利用していないプラグイン・テーマは削除する。使うものだけに絞ることで攻撃対象を減らす。 - 常に最新版へアップデート
コアの WordPress、使っているプラグイン/テーマともに、脆弱性修正が出たら速やかに更新。とくに CVE が付与されたような重大バグでは放置が命取り。 - 信頼性の高いプラグイン/テーマを選ぶ
作者の実績、更新頻度、利用者数、レビュー、メンテナンス状況などをチェック。公式リポジトリ以外の“あやしいもの”は避ける。 - 不要な機能やアクセス権を制限
管理者権限をむやみに与えない。投稿者/編集者など最低限の権限で運用。不要な REST API やログ閲覧機能は無効化できればなお良い。 - サイトの監視とログ確認
異常なログイン、ファイル変更、管理者アカウントの不審な増加などをモニタリング。早期に気づき対応できるようにする。 - バックアップと復旧プランの整備
万が一改ざん・乗っ取りが起きても、速やかに以前の安全な状態に戻せるよう、定期バックアップ + 復旧手順を用意。 - セキュリティプラグイン/ファイアウォール導入
サイトを不正アクセスや脆弱性攻撃から守るために、セキュリティ系プラグイン/WAF(Web Application Firewall)の導入を検討。
これらを実践することで、2025年のように「プラグイン/テーマの脆弱性に起因する被害」の多くを未然に防ぐことが可能です。
そこでリリースされたのが「WordPress 6.9」
2025年12月リリースの WordPress 6.9 は、2025年に露呈した攻撃傾向に対応するため、
コア側でのセキュリティ強化を多数盛り込んだ“重要アップデート”となった。
6.9 が果たす役割
- プラグイン脆弱性が悪用されにくくなる
- API やファイルアップロード周りの安全性向上
- XSS 防御の強化
- 6.8.3 以降の追加パッチ適用
結論:2025年の脆弱性対策は「プラグイン+WordPress本体の両輪」
WordPress運用者が取るべき対策は、次の2軸になる:
① プラグイン/テーマの最新版維持(または削除)
2025年は“古いバージョンを放置したサイト”が多数攻撃された。
② WordPress 本体を 6.9 以降へ更新
コアのセキュリティ改善はプラグイン脆弱性の被害を減らすために欠かせない。
WordPress を安全に運用するための注意点
2025年は、WordPress のプラグインやテーマを標的とした深刻な脆弱性が相次いだ年でした。特に King Addons や Service Finder、OttoKit のように、未認証のまま権限を奪取できる脆弱性は、サイトが完全に乗っ取られる危険をはらみ、実際に数千〜数万件規模の攻撃試行が報告されました。また、多くのプラグインに共通していたのが、REST API の権限チェック不備や、入力値のサニタイズ漏れといった基本的な実装の隙を突かれるケースです。こうした状況は、WordPress コアが比較的安全に保たれた一方で、周辺エコシステムに依存する構造的な弱さが浮き彫りになったとも言えます。
この背景を受けて、2025年12月にリリースされた WordPress 6.9 では、REST API の権限管理強化や XSS 対策の改善、ファイルアップロードの検証強化など、コア側でのセキュリティが大きく前進しました。しかし、これはあくまで「攻撃リスクを減らす」ための基盤強化であり、プラグインやテーマの脆弱性そのものを完全に防ぐものではありません。最終的な安全性は、サイト管理者の運用姿勢に大きく左右されます。
特に注意すべき点は三つあります。第一に、プラグインやテーマを必要最小限に絞り、利用していないものは即座に削除すること。脆弱性の多くは放置された不要コンポーネントから発生しています。第二に、自動更新の活用を含め、WordPress 本体とプラグイン/テーマを常に最新状態に保つこと。脆弱性が公開された直後から攻撃が始まることは珍しくなく、更新の遅れは大きなリスクになります。第三に、セキュリティプラグインやサーバー側 WAF を導入し、不正アクセスの検知・遮断を仕組みとして備えることです。
WordPress は非常に強力で柔軟な CMS ですが、その安全性を保つには、コアの更新だけでなく、日常的な点検と運用ルールの徹底が不可欠です。2025年の脆弱性事例は、今後の WordPress 運用において「プラグイン依存のリスク」と「最新バージョン維持の重要性」を改めて示すものとなりました。継続的な管理こそが、サイトとビジネスを守る最大の防御策です。
