WordPressプラグイン脆弱性情報(2026年4月6日)
2026年4月7日
東証スタンダード上場企業のジオコードが運営!
SEOがまるっと解るWebマガジン
更新日:2026年 04月 13日
WordPressプラグイン脆弱性情報(2026年4月13日)
【監修】株式会社ジオコード SEO事業 責任者
栗原 勇一
WordPressサイトを運営されている皆さまへ、今週(2026年4月6日〜4月13日)に公開されたプラグインの脆弱性情報をお届けします。今週は合計80件以上のプラグインに脆弱性が報告されており、そのうち32件はアクティブインストール数5万件以上の広く利用されているプラグインです。
今週の全体的な傾向として、クロスサイトスクリプティング(XSS)とアクセス制御の不備に関する脆弱性が多数を占めています。特に注目すべきは、Elementor系アドオンプラグインに複数の脆弱性が集中して報告されている点です。ページビルダー系のプラグインはサイトの表示に直結するため、攻撃者にとって格好のターゲットとなっています。
また、今週の要注意プラグインとして取り上げる「MW WP Form」では、先週(CVE-2026-4347)に引き続き、今週も新たな「任意ファイルの移動・読み取り」脆弱性(CVE-2026-5436)が発見されています。2週連続での重大脆弱性報告となっており、20万件以上のアクティブインストール数を持つこのプラグインをご利用の方は最優先でアップデートをお願いいたします。
目次
今週のサマリー
| 脆弱性検出プラグイン総数 | 80件以上 |
| 要緊急確認(5万インストール以上) | 32件 |
| その他の脆弱性検出プラグイン | 50件以上 |
要緊急確認:アクティブインストール数5万件以上のプラグイン
以下のプラグインは、アクティブインストール数が5万件以上と利用者が非常に多く、脆弱性の影響範囲が広いため、早急なアップデート確認を推奨します。お使いのサイトにこれらのプラグインが導入されている場合は、速やかに最新バージョンへ更新してください。
| No. | プラグイン名 |
| 1 | Tutor LMS – eLearning and online course solution |
| 2 | Optimole – Optimize Images in Real Time |
| 3 | Greenshift – animation and page builder blocks |
| 4 | Aruba HiSpeed Cache |
| 5 | Customer Reviews for WooCommerce |
| 6 | Download Manager |
| 7 | WP-Optimize – Cache, Compress images, Minify & Clean database to boost page speed & performance |
| 8 | MW WP Form |
| 9 | Advanced Contact form 7 DB |
| 10 | List category posts |
| 11 | Online Scheduling and Appointment Booking System – Bookly |
| 12 | User Registration & Membership – Free & Paid Memberships, Subscriptions, Content Restriction, User Profile, Custom User Registration & Login Builder |
| 13 | Beaver Builder Page Builder – Drag and Drop Website Builder |
| 14 | Element Pack – Widgets, Templates & Addons for Elementor |
| 15 | Blog2Social: Social Media Auto Post & Scheduler |
| 16 | The Plus Addons for Elementor – Addons for Elementor, Page Templates, Widgets, Mega Menu, WooCommerce |
| 17 | Strong Testimonials |
| 18 | MainWP Child Reports |
| 19 | Prime Slider – Addons for Elementor |
| 20 | LearnPress – WordPress LMS Plugin for Create and Sell Online Courses |
| 21 | LatePoint – Calendar Booking Plugin for Appointments and Events |
| 22 | Elementor Website Builder – more than just a page builder |
| 23 | Product Feed PRO for WooCommerce by AdTribes – Product Feeds for WooCommerce |
| 24 | Everest Forms – Contact Form, Payment Form, Quiz, Survey & Custom Form Builder |
| 25 | Download Monitor |
| 26 | Hustle – Email Marketing, Lead Generation, Optins, Popups |
| 27 | Gravity Forms |
| 28 | Smart Slider 3 |
| 29 | Page Builder: Pagelayer – Drag and Drop website builder |
| 30 | Booking for Appointments and Events Calendar – Amelia |
| 31 | Ninja Forms – File Uploads |
| 32 | BackupBliss – Backup & Migration with Free Cloud Storage |
今週の要注意プラグイン
① MW WP Form(CVE-2026-5436)
【先週に引き続き2週連続の重大脆弱性】
MW WP Formは、日本国内で広く利用されているWordPress向けフォームプラグインです(アクティブインストール数20万件以上)。先週のCVE-2026-4347(ファイル移動によるRCEリスク)に続き、今週も同様の「任意ファイルの移動・読み取り」脆弱性が新たに発見されました。同じプラグインで2週連続の重大脆弱性報告となっており、早急な対応が必要です。
| 脆弱性の種類 | 任意ファイルの移動・読み取り(Path Traversal / CWE-22) |
| CVE番号 | CVE-2026-5436 |
| 影響を受けるバージョン | 5.1.1 以前のすべてのバージョン |
| 修正バージョン | 5.1.2(最新バージョンへのアップデートを推奨) |
| 深刻度(CVSS) | 8.1(High) |
| 認証の要否 | 認証不要(未認証ユーザーが攻撃可能) |
| 公開日 | 2026年4月8日 |
| 参照元 | Wordfence 脆弱性データベース(CVE-2026-5436) |
脆弱性の概要
この脆弱性は、generate_user_file_dirpath()関数における$nameパラメーター(アップロードフィールドキー)の検証不備に起因します。WordPressのpath_join()関数は絶対パスをそのまま返してしまう仕様があり、攻撃者が制御したキーが意図したベースディレクトリを無視して処理されます。
攻撃者はmwf_upload_files[]のPOSTパラメーター経由で任意のキーを注入でき、フォーム処理中にサーバー上の任意のファイル(wp-config.phpなど)を移動または読み取ることが可能になります。この脆弱性が悪用された場合、リモートコード実行(RCE)につながる可能性があります。
※ この脆弱性はフォームにファイルアップロードフィールドが追加されており、かつ「問い合わせデータをデータベースに保存する」オプションが有効な場合にのみ悪用可能です。
想定されるリスク
- サーバー上の重要ファイル(wp-config.phpなど)の移動・改ざん — 設定ファイルが外部からアクセス可能な場所に移動されると、データベース認証情報などが漏洩するリスクがあります。
- リモートコード実行(RCE)への発展 — 移動させたファイルの内容次第では、攻撃者によるサーバー上でのコード実行が可能となります。
- 先週の脆弱性(CVE-2026-4347)と組み合わせた複合攻撃 — 2つの脆弱性を連鎖させることで、より高度な攻撃が行われる可能性があります。
推奨対応
- プラグインを速やかに最新バージョンへアップデートしてください(5.1.1以前のバージョンはすべて影響を受けます)。
- フォームにファイルアップロードフィールドを使用している場合は特に優先度を上げて対応してください。
- 「問い合わせデータをデータベースに保存する」オプションが不要であれば、無効化を検討してください。
- サーバーのアクセスログを確認し、不審なファイルアクセスの痕跡がないか調査してください。
② WP-Optimize – Cache, Compress images, Minify & Clean database
広く使われている理由
WP-Optimizeは、WordPressサイトの表示速度を改善するためのオールインワン最適化プラグインです。アクティブインストール数は100万件以上を誇り、WordPressの最適化系プラグインの中でもトップクラスの普及率を持ちます。
これほど支持されている理由は、「1つのプラグインで複数の最適化を完結できる」点にあります。通常、サイト高速化のためには「キャッシュ用」「画像圧縮用」「データベース整理用」と、用途ごとに複数のプラグインを組み合わせる必要があります。WP-Optimizeはこれらを単独でカバーしており、管理コストを大幅に削減できます。主な機能は以下のとおりです。
- ページキャッシュ — サイトのHTMLを一時保存し、ページ読み込み速度を向上。ワンクリックで有効化できる手軽さも特徴です。
- 画像圧縮 — メディアライブラリ内の画像をまとめて圧縮。WebP変換にも対応し、SEOや表示速度の改善に直結します。
- データベースクリーンアップ — 不要な下書き・リビジョン・スパムコメント・一時データなどを定期的に削除し、データベースの肥大化を防ぎます。
- JS・CSS・HTMLのミニファイ — 不要な空白や改行を除去してファイルサイズを削減し、ページ読み込みを高速化します。
また、同じ開発チームが手掛けるバックアッププラグイン「UpdraftPlus」との連携も好評で、「最適化前に自動バックアップを取得する」という安全なワークフローが構築しやすい点も、企業や制作会社を中心に高く評価されています。
今回の脆弱性でどのような影響が出るのか
今週の脆弱性チェックツールにてWP-Optimizeに脆弱性が検出されました。現時点でWordfence等の公開データベースにおける今週分の新規CVE詳細は調査・確認中ですが、過去に報告された同プラグインの脆弱性の傾向として、以下のようなリスクが想定されます。
特に注意が必要なのは、WP-Optimizeがサイトのキャッシュ・データベース・ファイルシステムという「サイトの根幹」に深く関与するプラグインである点です。これほどサイトの中枢に触れる権限を持つプラグインに脆弱性が存在した場合、その影響は通常のプラグインと比較して格段に大きくなります。
- キャッシュファイルへの不正な書き込み — キャッシュ機能に脆弱性がある場合、攻撃者がキャッシュファイルに悪意あるスクリプトを埋め込み、サイトを閲覧したすべてのユーザーのブラウザ上でコードが実行される恐れがあります。
- データベース内容の漏洩・改ざん — データベース最適化機能に不備があった場合、ユーザー情報・注文情報・設定値などの機密データが外部から読み取られたり、書き換えられたりするリスクがあります。
- サイト全体の乗っ取り — 管理者権限に近い操作が可能になった場合、バックドアの設置・管理者アカウントの追加など、サイトの完全な乗っ取りにつながる可能性があります。
- 100万件超の広範な影響 — アクティブインストール数が100万件を超えるため、脆弱性が悪用された際の被害規模は非常に大きくなります。攻撃者が自動スキャンツールでWP-Optimizeの利用を検出し、一斉に攻撃を仕掛けるケースも想定されます。
| プラグイン名 | WP-Optimize – Cache, Compress images, Minify & Clean database to boost page speed & performance |
| アクティブインストール数 | 100万件以上(WordPress最適化系プラグインNo.1クラス) |
| 状況 | 今週の脆弱性チェックツールにて検出(詳細CVE調査中) |
| 想定リスク | キャッシュへの悪意あるスクリプト注入、DBデータ漏洩・改ざん、サイト乗っ取り等 |
| 推奨対応 | 最新バージョンへのアップデートを実施してください |
| 参照元 | Wordfence 脆弱性データベース |
推奨対応
- プラグインを速やかに最新バージョンへアップデートしてください。
- 更新後は必ずキャッシュを全クリアし、サイトの表示・動作に問題がないか確認してください。
- アップデート前にはバックアップを取得しておくと安心です(UpdraftPlusとの連携機能が便利です)。
- Wordfenceなどのセキュリティプラグインで定期スキャンを行い、CVE詳細が公開され次第、追加の対応を検討してください。
その他の脆弱性検出プラグイン一覧
以下のプラグインについても、今週新たに脆弱性が報告されています。ご利用中のプラグインがないかご確認ください。
| No. | プラグイン名 |
| 1 | wpForo Forum |
| 2 | LifterLMS – WP LMS for eLearning, Online Courses, & Quizzes |
| 3 | UsersWP – Front-end login form, User Registration, User Profile & Members Directory plugin for WP |
| 4 | BuddyPress Groupblog |
| 5 | BlockArt Blocks – Gutenberg Blocks, Page Builder Blocks, WordPress Block Plugin, Sections & Template Library |
| 6 | Gravity SMTP |
| 7 | AddFunc Head & Footer Code |
| 8 | Webling |
| 9 | Royal WordPress Backup, Restore & Migration Plugin – Backup WordPress Sites Safely |
| 10 | Perfmatters |
| 11 | Quick Playground |
| 12 | Ultimate FAQ Accordion Plugin |
| 13 | Post Blocks & Tools |
| 14 | ProSolution WP Client |
| 15 | Experto Dashboard for WooCommerce |
| 16 | MStore API – Create Native Android & iOS Apps On The Cloud |
| 17 | OSM – OpenStreetMap |
| 18 | Vertex Addons for Elementor |
| 19 | Ziggeo |
| 20 | PrivateContent Free |
| 21 | Robo Gallery – Photo & Image Slider |
| 22 | pdfl.io |
| 23 | WP Visitor Statistics (Real Time Traffic) |
| 24 | Magic Conversation For Gravity Forms |
| 25 | Masteriyo LMS – Online Course Builder for eLearning, LMS & Education |
| 26 | Whole Enquiry Cart for WooCommerce |
| 27 | DSGVO Google Web Fonts GDPR |
| 28 | WP Blockade – Visual Page Builder |
| 29 | PZ Frontend Manager |
| 30 | AM LottiePlayer |
| 31 | Attendance Manager |
| 32 | Sports Club Management |
| 33 | Gerador de Certificados – DevApps |
| 34 | Columns by BestWebSoft – Additional Columns Plugin for Posts Pages and Widgets |
| 35 | Quran Translations |
| 36 | Riaxe Product Customizer |
| 37 | Pinterest Site Verification plugin using Meta Tag |
| 38 | Wavr |
| 39 | WowPress |
| 40 | Inquiry form to posts or pages |
| 41 | Investi |
| 42 | TableOn – WordPress Posts Table Filterable |
| 43 | Users manager – PN |
| 44 | LTL Freight Quotes – R+L Carriers Edition |
| 45 | LightPress Lightbox |
| 46 | PowerPress Podcasting plugin by Blubrry |
| 47 | Advanced Members for ACF |
| 48 | Awesome Support – WordPress HelpDesk & Support Plugin |
| 49 | BEAR – Bulk Editor and Products Manager Professional for WooCommerce by Pluginus.Net |
| 50 | WCAPF – Ajax Product Filter for WooCommerce |
| 51 | Charitable – Donation Plugin for WordPress – Fundraising with Recurring Donations & More |
運用担当者様へのお願い
定期的な対策チェックリスト
- WordPress本体・プラグイン・テーマを常に最新バージョンに更新する
- 使用していないプラグイン・テーマは削除する
- 管理画面へのアクセス制限(IP制限・二要素認証)を設定する
- 定期的にバックアップを取得し、復元手順を確認しておく
- WAF(Web Application Firewall)の導入を検討する
- 脆弱性情報の通知サービス(Wordfence等)を活用し、タイムリーな情報収集を行う
脆弱性情報は日々更新されます
。プラグインのアップデート通知を確認し、速やかに対応いただくことが、サイトを安全に保つための最善策です。
特に今週は、WP-Optimizeの様なメジャーなプラグインが含まれていますし、MW WP Formのように同一プラグインへの連続した脆弱性報告も見られます。
「先週対応したから大丈夫」という油断は禁物です。
とりわけ、お問い合わせフォームや予約フォームは、サイト訪問者が個人情報を入力する場所です。氏名・メールアドレス・電話番号・相談内容……訪問者はサイト運営者を「信頼して」その情報を預けています。フォームプラグインに脆弱性が放置されていた場合、その信頼は一瞬で崩れます。
今週のMW WP Formの事例が示すように、悪用されれば入力データの漏洩にとどまらず、サーバー上の設定ファイルの窃取やサイト全体の乗っ取りにまで発展するリスクがあります。「フォームを設置している=ユーザーの情報を預かっている」という意識を持ち、プラグインの管理を日常的なセキュリティ業務の一部として捉えていただくことを強くお勧めします。
セキュリティ対策は、何か起きてからでは遅い場合がほとんどです。定期的なアップデートと監視の習慣こそが、訪問者からの信頼を守り続ける唯一の方法です。
自分のWordPressサイトは大丈夫?と思った方はお気軽にご連絡ください!
この記事を書いた人
GCアナリストチーム
