東証スタンダード上場企業のジオコードが運営!

SEOがまるっと解るWebマガジン

AIO・LLMO対策 SEOトレンド SEOテクニック お問い合わせ
記事を探す メニュー

カテゴリーから探す

おすすめのタグから探す

もっと見る
資料ダウンロード セミナー情報 お問い合わせ

ジオコードSEOサービスTOP > SEOマガジン > オーガニックマーケティング > セキュリティ > コピー WordPressプラグイン脆弱性情報(2026年4月20日)

更新日:2026年 04月 27日

コピー WordPressプラグイン脆弱性情報(2026年4月20日)

【監修】株式会社ジオコード SEO事業 責任者
栗原 勇一

WordPressサイトを運営されている皆さまへ、今週(2026年4月14日〜4月20日)に公開されたプラグインの脆弱性情報をお届けします。今週は合計83件のプラグインに脆弱性が報告されており、そのうち28件はアクティブインストール数5万件以上の広く利用されているプラグインです。

今週の全体的な傾向として、クロスサイトスクリプティング(XSS)とアクセス制御の不備に関する脆弱性が多数を占めています。特に注目すべきは、Elementor系アドオンプラグインに複数の脆弱性が集中して報告されている点です。ページビルダー系のプラグインはサイトの表示に直結するため、攻撃者にとって格好のターゲットとなっています。

また、今週の要注意プラグインとして取り上げる「MW WP Form」では、先週(CVE-2026-4347)に引き続き、今週も新たな「任意ファイルの移動・読み取り」脆弱性(CVE-2026-5436)が発見されています。2週連続での重大脆弱性報告となっており、20万件以上のアクティブインストール数を持つこのプラグインをご利用の方は最優先でアップデートをお願いいたします。

今週のサマリー

脆弱性検出プラグイン総数83件
要緊急確認(5万インストール以上)28件
その他の脆弱性検出プラグイン55件

要緊急確認:アクティブインストール数5万件以上のプラグイン

以下のプラグインは、アクティブインストール数が5万件以上と利用者が非常に多く、脆弱性の影響範囲が広いため、早急なアップデート確認を推奨します。お使いのサイトにこれらのプラグインが導入されている場合は、速やかに最新バージョンへ更新してください。

 1. Contextual Related Posts

 2. Categories Images

 3. CMP – Coming Soon & Maintenance Plugin by NiteoThemes

 4. Page Builder Gutenberg Blocks – CoBlocks

 5. Drag and Drop Multiple File Upload for Contact Form 7

 6. Unlimited Elements For Elementor

 7. JetBackup – Backup, Restore & Migrate

 8. LatePoint – Calendar Booking Plugin for Appointments and Events

 9. Tutor LMS – eLearning and online course solution

10. Kubio AI Page Builder

11. WP Statistics – Simple, privacy-friendly Google Analytics alternative

12. Royal Addons for Elementor – Addons and Templates Kit for Elementor

13. Fluent Forms – Customizable Contact Forms, Survey, Quiz, & Conversational Form Builder

14. Better Find and Replace – AI-Powered Suggestions

15. OneSignal – Web Push Notifications

16. Email Encoder – Protect Email Addresses and Phone Numbers

17. WP Maps – Store Locator, Google Maps, OpenStreetMap, Mapbox, Listing, Directory & Filters

18. Customer Reviews for WooCommerce

19. WP Shortcodes Plugin — Shortcodes Ultimate

20. Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – ProfilePress

21. Advanced Custom Fields (ACF®)

22. Avada (Fusion) Builder

23. 3D FlipBook – PDF Embedder, PDF Flipbook Viewer, Flipbook Image Gallery

24. Germanized for WooCommerce

25. ShopLentor – All-in-One WooCommerce Growth & Store Enhancement Plugin

26. BackWPup – WordPress Backup & Restore Plugin

27. LearnPress – WordPress LMS Plugin for Create and Sell Online Courses

28. User Registration & Membership – Free & Paid Memberships, Subscriptions, Content Restriction, User Profile, Custom User Registration & Login Builder

今週の要注意プラグイン

① Advanced Custom Fields(ACF®)

Advanced Custom Fields(ACF)は、WordPressの投稿・固定ページ・カスタム投稿タイプに対して、テキスト・画像・日付・繰り返しフィールドなど多彩なカスタムフィールドを追加できるプラグインです。アクティブインストール数は200万件以上を誇り、開発者・デザイナー・サイト制作会社を問わず、WordPress開発のデファクトスタンダードとも呼ばれています。

これほど普及している理由は、コードを書かずにカスタムフィールドを直感的に設定できる操作性の高さと、テーマやプラグインとの高い互換性にあります。ECサイト・不動産サイト・メディアサイトなど、複雑なデータ構造を持つサイトでは特に欠かせない存在となっています。

プラグイン名Advanced Custom Fields (ACF®)
アクティブインストール数200万件以上
状況今週の脆弱性チェックツールにて検出(詳細CVE調査中)
想定リスクカスタムフィールド経由のXSS・情報漏洩・権限昇格等
推奨対応最新バージョンへのアップデートを実施してください
参照元Wordfence 脆弱性データベース

想定されるリスク

ACFはサイトのデータ構造そのものに深く関与するプラグインです。仮に脆弱性が悪用された場合、カスタムフィールドに格納されたデータの漏洩にとどまらず、管理画面上でのスクリプト実行(XSS)や、フィールド設定を通じた権限昇格につながるリスクがあります。また、ACFを利用して構築されたテーマ・プラグインとの連携部分でも影響が波及する場合があります。

推奨対応

  1. プラグインを速やかに最新バージョンへアップデートしてください。
  2. ACF Proをご利用の場合はProバージョンも合わせて更新を確認してください。
  3. 管理者・編集者などのユーザー権限を必要最小限に絞り、不審なフィールド設定の追加がないか確認してください。

② BackWPup – WordPress Backup & Restore Plugin

BackWPupは、WordPressサイトのファイルとデータベースを自動でバックアップできるプラグインです。Dropbox・Amazon S3・FTPなど多様なストレージへの書き出しに対応しており、アクティブインストール数は70万件以上。「無料でここまでできる」バックアッププラグインとして長年にわたり愛用されています。

バックアッププラグインは「万が一の備え」として導入されますが、皮肉なことにバックアッププラグイン自体に脆弱性が存在すると、その被害は特に深刻になります。バックアップファイルにはデータベース全体(ユーザー情報・注文情報・設定値)が含まれており、これが外部から取得可能な状態になると、サイトの情報がまるごと漏洩するリスクがあります。

プラグイン名BackWPup – WordPress Backup & Restore Plugin
アクティブインストール数70万件以上
状況今週の脆弱性チェックツールにて検出(詳細CVE調査中)
想定リスクバックアップファイルの外部漏洩、DBデータ・認証情報の窃取等
推奨対応最新バージョンへのアップデートを実施してください
参照元Wordfence 脆弱性データベース

想定されるリスク

  • バックアップファイルの外部アクセス — バックアップの保存先や生成パスに脆弱性がある場合、外部から直接ダウンロードされる恐れがあります。バックアップファイルにはデータベース全体が含まれるため、被害は甚大です。
  • 認証情報の漏洩 — wp-config.phpの内容がバックアップに含まれるため、データベース接続情報・秘密鍵等が窃取されるリスクがあります。
  • 復元機能の悪用 — 復元(リストア)機能に不備がある場合、攻撃者が任意のデータをサイトに書き込める可能性があります。

推奨対応

  1. プラグインを速やかに最新バージョンへアップデートしてください。
  2. バックアップファイルの保存先がWebから直接アクセスできる場所になっていないか確認し、外部ストレージ(Dropbox・S3等)への保存を推奨します。
  3. 古いバックアップファイルがサーバー上に残っている場合は削除を検討してください。
  4. バックアップジョブのスケジュール・通知設定を見直し、異常なジョブ実行がないか確認してください。

その他の脆弱性検出プラグイン一覧

以下のプラグインについても、今週新たに脆弱性が報告されています。ご利用中のプラグインがないかご確認ください。

 1. EMC – Easily Embed Calendly Scheduling

 2. Content Blocks (Custom Post Widget)

 3. Flipbox Addon for Elementor

 4. Hostel

 5. Youzify – BuddyPress Community, User Profile, Social Network & Membership Plugin for WordPress

 6. Easy Appointments

 7. Pz-LinkCard

 8. WP Customer Area

 9. VideoZen

10. Plugin: CMS für Motorrad Werkstätten

11. Canto

12. Quiz and Survey Master (QSM) – Easy Quiz and Survey Maker

13. Form Maker by 10Web – Mobile-Friendly Drag & Drop Contact Form Builder

14. wpForo Forum

15. MasterStudy LMS WordPress Plugin – for Online Courses and Education

16. DirectoryPress – Business Directory And Classified Ad Listing

17. Post Grid Gutenberg Blocks for News, Magazines, Blog Websites – PostX

18. Career Section

19. Prismatic

20. BetterDocs – Knowledge Base Docs & FAQ Solution for Elementor & Block Editor

21. Livemesh Addons by Elementor

22. OPEN-BRAIN

23. Basic Google Maps Placemarks

24. Custom New User Notification

25. Accessibility Suite by Ability, Inc

26. Riaxe Product Customizer

27. AcyMailing – An Ultimate Newsletter Plugin and Marketing Automation Solution for WordPress

28. Payment Gateway for Redsys & WooCommerce Lite

29. CodeColorer

30. WP Docs

31. WP YouTube Lyte

32. Barcode Scanner (+Mobile App) – Inventory manager, Order fulfillment system, POS (Point of Sale)

33. Product Pricing Table by WooBeWoo

34. MetForm Pro

35. Visa Acceptance Solutions

36. Accessibly – WordPress Website Accessibility

37. Coachific Shortcode

38. WP Circliful

39. WM JqMath

40. Petje.af

41. Katalogportal-pdf-sync Widget

42. e-shot

43. Power Charts – Responsive Beautiful Charts & Graphs

44. VI: Include Post By

45. Login as User – Switch User & WooCommerce Login as Customer

46. Quick Interest Slider

47. Inquiry form to posts or pages

48. Age Verification & Identity Verification by Token of Trust

49. List View Google Calendar

50. Nexi XPay

51. Eventin – Event Calendar, Event Registration, Tickets & Booking (AI Powered)

52. Smart Post Show – Post Grid, Post Carousel & Slider, and List Category Posts

53. WholeSale Products Dynamic Pricing Management WooCommerce

54. Surbma | Booking.com Shortcode

55. JetEngine

運用担当者様へのお願い

定期的な対策チェックリスト

  • WordPress本体・プラグイン・テーマを常に最新バージョンに更新する
  • 使用していないプラグイン・テーマは削除する
  • 管理画面へのアクセス制限(IP制限・二要素認証)を設定する
  • 定期的にバックアップを取得し、復元手順を確認しておく
  • WAF(Web Application Firewall)の導入を検討する
  • 脆弱性情報の通知サービス(Wordfence等)を活用し、タイムリーな情報収集を行う

脆弱性情報は日々更新されます。プラグインのアップデート通知を確認し、速やかに対応いただくことが、サイトを安全に保つための最善策です。特に今週はAdvanced Custom Fields(ACF)やBackWPupといった、サイトの根幹を担うプラグインへの脆弱性が報告されています。「普段から使い慣れているから安心」という思い込みは、セキュリティ上の盲点になりがちです。

とりわけ、お問い合わせフォームや予約フォームは、サイト訪問者が個人情報を入力する場所です。氏名・メールアドレス・電話番号・相談内容……訪問者はサイト運営者を「信頼して」その情報を預けています。フォームプラグインに脆弱性が放置されていた場合、その信頼は一瞬で崩れます。

今週のAdvanced Custom Fields(ACF)の事例が示すように、200万件以上のサイトで使われているプラグインに脆弱性があれば、攻撃者にとってそれは格好の標的です。悪用されれば入力データの漏洩にとどまらず、サイト全体の乗っ取りにまで発展するリスクがあります。「プラグインを設置している=ユーザーの情報を預かっている」という意識を持ち、プラグインの管理を日常的なセキュリティ業務の一部として捉えていただくことを強くお勧めします。

セキュリティ対策は、何か起きてからでは遅い場合がほとんどです。定期的なアップデートと監視の習慣こそが、訪問者からの信頼を守り続ける唯一の方法です。

自分のWordPressサイトは大丈夫?と思った方はお気軽にご連絡ください!

無料の脆弱性診断はこちら
あなたのサイトは大丈夫?SEO無料調査
GCアナリストチーム
この記事を書いた人 GCアナリストチーム

関連の記事

  1. セキュリティ

    WordPressプラグイン脆弱性情報(2026年4月6日)

    2026年4月7日
  2. セキュリティ

    WordPressプラグイン脆弱性情報(2026年4月13日)

    2026年4月13日
あなたのサイトは大丈夫?SEO無料調査