東証スタンダード上場企業のジオコードが運営!

SEOがまるっと解るWebマガジン

AIO・LLMO対策 SEOトレンド SEOテクニック お問い合わせ
記事を探す メニュー

カテゴリーから探す

おすすめのタグから探す

もっと見る
資料ダウンロード セミナー情報 お問い合わせ

ジオコードSEOサービスTOP > SEOマガジン > オーガニックマーケティング > セキュリティ > WordPressプラグイン脆弱性情報(2026年6月1日)

更新日:2026年 06月 01日

WordPressプラグイン脆弱性情報(2026年6月1日)

【監修】株式会社ジオコード SEO事業 責任者
栗原 勇一

WordPressサイトを運営されている皆さまへ、先週(2026年6月1日まで)に公開されたプラグインの脆弱性情報をお届けします。今週は合計100件のプラグインに脆弱性が報告されており、そのうち22件はアクティブインストール数5万件以上の広く利用されているプラグインです。

今週の全体的な傾向として、認可(権限)チェックの不備によるアクセス制御の脆弱性が目立ちました。特に注目すべきは、超定番プラグインであるAdvanced Custom Fields(ACF)ファミリーに、認証不要で悪用可能な脆弱性が相次いで報告された点です。ACF本体では投稿フォーム経由の不正改ざん(CVE-2026-8382)が、派生プラグインのACF: Extendedでは未認証の権限昇格(CVE-2026-8809)が公開されています。

今週の要注意プラグインとして取り上げる「Advanced Custom Fields(ACF)」では、acf_form()で設置したフロントエンドの投稿フォームに認可不備があり、ログインしていない第三者でも任意の投稿のタイトル・本文を書き換えられる脆弱性が発見されています。コンテンツの改ざんはサイトの信用に直結するため、該当プラグインをご利用の方は最優先でアップデートをお願いいたします。

加えて今週は、WordPress本体のメジャーアップデート「WordPress 7.0」への移行に伴うリスクにも注意が必要です。脆弱性そのものとは別軸ですが、エディタのiframe化やBlock API Version 3への移行により、カスタムブロックの破損・編集画面の不具合・フロント表示の崩れ・プラグインの致命的エラーといった、サイトを壊しかねないリスクが生じ得ます。詳細は下記の特集にまとめましたので、コア更新の前に必ずご確認ください。

【特集】WordPress 7.0 への移行で起こりうる4つのリスク

WordPress 7.0は2026年最初のメジャーリリースとして公開され、投稿エディタのiframe化とBlock API Version 3への移行が最大の変更点です。プラグインの脆弱性とは別軸の話ですが、カスタムブロックを多用しているサイトほど影響が大きく、コア更新前に必ず押さえておきたいポイントです。以下、4つのリスクについて「何が起こるか/なぜ起こるか/どう検出するか」を整理します。

1. エディタのiframe化(最優先)

何が起こるか: 下記のような編集画面の表示・操作不良が発生します。

  • カスタムブロックのプレビューが編集画面で真っ白・レイアウト崩れ・スタイル未適用になる
  • ブロックエディタ内でJSが動かず、ボタンやインタラクションが無反応になる
  • ACFブロックのプレビューで、フロントと見た目が一致しなくなる

なぜ起こるか: 編集領域が iframe 内に隔離されたため、親ドキュメント前提で書かれた資産が届かなくなります。エディタ用CSSを正しいフック(enqueue_block_assets等)で読み込んでいないとiframe内にスタイルが注入されず、JSが document.querySelector 等でグローバルな document を参照しているとiframe内のDOMを取得できず失敗します。テーマ・プラグインが長年前提にしてきたCSS/JSの仮定を壊す変更です。

検出方法: ステージングで全カスタムブロックを編集画面に挿入してプレビュー表示と操作を確認し、ブラウザのDevToolsで(親フレームではなく)iframe側のコンソールエラーを確認します。

対処: エディタ向けCSS/JSのenqueue方法を見直し、JSはブロックのedit関数内のDOM参照に限定します。

2. Block API Version 3 への移行(事実上の必須化)

何が起こるか: 古いAPIで登録したブロックが破損して見えます。

  • 古いAPIで登録したカスタムブロックがブロック一覧に出ない/「ブロックにエラーが含まれています」と表示される
  • 既存記事内の該当ブロックが「このブロックは無効です」になり、内容が壊れて見える

なぜ起こるか: WordPress 7.0ではBlock API Version 3が前提となり、block.jsonのapiVersionが古い(1や2)ブロックは、新しいiframe前提の描画モデルに適合せず正しく登録・描画されません。v1/v2のブロックを含む投稿ではiframeエディタが無効化(フォールバック)され、新規プラグインではv3が必須となります。

検出方法: 各カスタムブロックの block.json で apiVersion を確認し、既存記事のプレビューで「無効なブロック」警告が出ていないかを点検します。

対処: apiVersion を 3 へ移行し、iframe対応(useBlockProps等)の記述に修正します。

3. マージンレス・スタイルのデフォルト化

何が起こるか: フロントの余白設計が崩れます。

  • ブロック間の余白が消えて要素が密着する、または意図しない詰まり方をする
  • 特にテーマ側でデフォルト余白に依存していたデザインで顕著に出る

なぜ起こるか: 全コンポーネントから下マージンが削除され、margin-freeスタイルがデフォルトになったためです。これまでコアが付与していた下マージンを前提にCSSを組んでいると、その分の余白が消えます。

検出方法: フロントの主要テンプレート(記事・LP・エリアページ等)を新旧で見比べ、ブロック間隔(特に見出し下・段落間・画像周り)を重点的に確認します。

対処: theme.json の spacing 設定、またはテーマCSSで明示的に余白を指定し直します。

4. プラグイン互換性(Contact Form 7・Yoast等)

何が起こるか: 個別プラグインの機能不全や致命的エラーが起こります。

  • フォームが表示されない・送信できない、SEOメタ出力が崩れる、管理画面の該当UIが壊れる、最悪は致命的エラー(WSOD)
  • 古いプラグインがPHP 8.3/8.4で致命的エラーを起こすケースが増えている

なぜ起こるか: DataViews変更・iframe化・PHP要件引き上げに各プラグインが追従できていないと不整合が出ます。ただし主要プラグインは対応済みで、WooCommerce(10.4.2以上)、Yoast SEO(26.6以上)、Elementor(3.24以上)が7.0対応版をリリース済みです。

検出方法・対処: コア更新の前に、まずプラグインとテーマを最新の安定版に更新します。数か月更新されていないプラグインは、changelogやサポートフォーラムで7.0対応を確認し、WP_DEBUGを有効化して debug.log でどのプラグインのどの行が原因かを特定します。

優先順位の考え方

1と2はカスタムブロックを多用しているほど確実に踏む変更で、編集画面が機能しなくなると運用が止まります。3は見た目の問題で気づきにくく、公開後に発覚しやすい変更です。4は更新を先に済ませれば大半を回避できます。

なお、ACFをクラシックなメタボックス(投稿編集画面の下部表示)として使っている場合は、iframe外の領域のため影響は比較的小さい一方、ACFブロックとして使っている場合はiframe内描画になるため1・2の影響を受けやすい、という切り分けで点検すると効率的です。今週の要注意プラグインであるACFをブロックとして利用中のサイトは、後述の脆弱性対応とあわせて7.0移行テストを行うことを推奨します。

※本特集は、リリース直後のweb情報とiframe化の一般的な挙動を整理したものです。ACF固有の7.0対応状況を確定で確認する場合は、ACF公式のリリースノートをご参照ください。

今週のサマリー

脆弱性検出プラグイン総数100件
要緊急確認(5万インストール以上)22件
その他の脆弱性検出プラグイン78件

要緊急確認:アクティブインストール数5万件以上のプラグイン

以下のプラグインは、アクティブインストール数が5万件以上と利用者が非常に多く、脆弱性の影響範囲が広いため、早急なアップデート確認を推奨します。お使いのサイトにこれらのプラグインが導入されている場合は、速やかに最新バージョンへ更新してください。

「アップデートしたいけれど、社内にWordPressの有識者がいない」「更新後の動作確認まで手が回らない」とお悩みの方も多いのではないでしょうか。ジオコードのセキュリティプランでは、WordPress本体はもちろん、プラグインやテーマのアップデートもすべて対応可能です。事前のバックアップから更新後の動作確認まで一括でサポートいたします。

▶ ジオコード WordPressセキュリティプランの詳細はこちら

  • Advanced Custom Fields (ACF®)
  • Simple History – Track, Log, and Audit WordPress Changes
  • Spectra Gutenberg Blocks – Website Builder for the Block Editor
  • Rank Math SEO – AI SEO Tools to Dominate SEO Rankings
  • Media Library Assistant
  • The Plus Addons for Elementor – Addons for Elementor, Page Templates, Widgets, Mega Menu, WooCommerce
  • StatCounter – Free Real Time Visitor Stats
  • Breeze Cache
  • Advanced Custom Fields: Extended
  • Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin
  • Photo Gallery by 10Web – Mobile-Friendly Image Gallery
  • PDF Embedder
  • SlimStat Analytics
  • a3 Lazy Load
  • Easy Updates Manager
  • Login No Captcha reCAPTCHA
  • Independent Analytics – WordPress Analytics Plugin
  • FOX – Currency Switcher Professional for WooCommerce
  • Everest Forms – Contact Form, Payment Form, Quiz, Survey & Custom Form Builder
  • User Registration & Membership – Free & Paid Memberships, Subscriptions, Content Restriction, User Profile, Custom User Registration & Login Builder
  • WPCode – Insert Headers and Footers + Custom Code Snippets – WordPress Code Manager
  • Enable jQuery Migrate Helper

今週の要注意プラグイン

Advanced Custom Fields (ACF®)

脆弱性の種類認可バイパス(Missing Authorization / CWE-862)による未認証の投稿改ざん
CVE番号CVE-2026-8382
影響を受けるバージョン6.8.1 以前のすべてのバージョン
修正バージョン6.8.2
深刻度(CVSS)5.3(Medium)
認証の要否認証不要(未認証ユーザーが攻撃可能)
公開日2026年5月31日
参照元Wordfence 脆弱性データベース

脆弱性の概要

Advanced Custom Fieldsは、投稿や固定ページに独自の入力項目(カスタムフィールド)を追加できる、アクティブインストール数200万件以上の超定番プラグインです。今回発見された脆弱性は、acf_form()関数で生成するフロントエンド投稿フォームの処理(includes/forms/form-front.php)に存在する、認可(権限)確認の不備です。

このフォームでは、送信リクエストに含まれる _post_title・_post_content というパラメータに対する権限チェックが欠けています。そのため攻撃者がこれらの値を注入すると、フォームに紐づく投稿のタイトルと本文を、認証なしで上書きできてしまいます。

想定されるリスク

  • 公開コンテンツの改ざん — 記事や固定ページのタイトル・本文が、第三者によって認証なしで書き換えられる恐れがあります。
  • 信用毀損・ブランド毀損 — 改ざんされたページや投稿フォームは、訪問者や検索エンジンからの信用を損ないます。フォームは信用性を問われるため、被害が表面化しにくく長期化しやすい点も問題です。
  • スパム・フィッシングの踏み台 — 本文に不正リンクや誘導コンテンツを埋め込まれ、二次被害の起点となる可能性があります。

推奨対応

  1. プラグインを速やかにバージョン 6.8.2 以上にアップデートしてください。修正版では、acf_form()がフォーム設定の post_title/post_content の設定を尊重し、許可された場合のみ保存するよう改修されています。
  2. acf_form()を用いたフロントエンド投稿フォームの公開状況を確認し、不要であれば停止、必要であればアクセス制限や設定を見直してください。
  3. 投稿・固定ページの更新履歴を点検し、不審な改ざんがないか確認してください(Simple History等の監査ログ併用を推奨します)。

【関連注意】 あわせて、派生プラグインのAdvanced Custom Fields: Extended(0.9.2.5以前)にも、ユーザー作成フォームを悪用した未認証の権限昇格(CVE-2026-8809)が報告されています。同プラグインをご利用の場合は最新版へ更新し、ユーザー登録系フォームの公開可否を見直してください。

その他の脆弱性検出プラグイン一覧

以下の78件のプラグインについても、今週新たに脆弱性が報告されています。ご利用中のプラグインがないかご確認ください。

  • GEO my WP
  • Contact Form 7 – PayPal & Stripe Add-on
  • Frontend Admin by DynamiApps
  • Link Whisper Free
  • OTP Login With Phone Number, OTP Verification
  • Simple Divi Shortcode
  • WP Maps Pro
  • WooCommerce Infinite Scroll and Ajax Pagination
  • WP Travel Pro
  • Post Snippets – Custom WordPress Code Snippets Customizer
  • Poll Maker by AYS – Versus Polls, Anonymous Polls, Image Polls
  • Shariff Wrapper
  • Visualizer: Tables and Charts Manager for WordPress
  • Equalize Digital Accessibility Checker – WCAG, ADA, EAA and Section 508 compliance
  • PeachPay — Payments & Express Checkout for WooCommerce (supports Stripe, PayPal, Square, Authorize.net, NMI)
  • HT Contact Form – Drag & Drop Form Builder for WordPress
  • WP Contact Form 7 DB Handler
  • Geo Mashup
  • GutenBee – Gutenberg Blocks
  • SMTP2GO for WordPress – Email Made Easy
  • Crawlomatic Multipage Scraper Post Generator
  • Easy Digital Downloads – eCommerce Payments and Subscriptions made easy
  • LiveSmart Video Chat Live Video Chat
  • Timetable and Event Schedule by MotoPress
  • 3D Viewer – 3D Model Viewer – Augmented Reality – Virtual Try On
  • Meta Field Block – Display custom fields in the Block Editor without coding
  • Xpro Elementor Addons – Pro
  • MinhNhut Link Gateway
  • myLinksDump
  • rexCrawler
  • WP Promoter
  • MetaMagic SEO Plugin
  • Github Shortcode
  • WPBakery Page Builder Addons by Livemesh
  • Livemesh Addons for Beaver Builder
  • Livemesh SiteOrigin Widgets
  • EnvíaloSimple: Email Marketing y Newsletters
  • affiliate-toolkit – Multi-Network Affiliate & Amazon Product Display
  • Booking Calendar – Event Calendar
  • Shortcode Buddy
  • iWR Tooltip
  • BitForm – Data management solution for WordPress
  • Listen Shortcode
  • hk_shortcode
  • Instant-Quote.co Quotation Page
  • Responsive Video Embedder
  • Easy Prism Syntax Highlighter
  • Content Slideshow
  • Animate Your Content
  • Formidable Kinetic
  • Team Master – A Modern WordPress Team Showcase
  • Query Shortcode
  • Mutual Funds Data
  • Single Mailchimp
  • Post Categories Gallery
  • Auto Thumbnails
  • jQuery googleslides
  • Events In City
  • NS Product icon badge
  • Login with NEAR
  • GoStats for WordPress
  • CDN Linker lite
  • Search Simple Fields
  • auto making JSON-LD
  • WP AutoBuzz
  • WP Iframe Geo Style for Amazon affiliates
  • Two-factor authentication (formerly IP Vault)
  • Dideo
  • Tuxquote
  • Islamic Database
  • Responsive Check
  • Google+ Link Name
  • Endless Scroll
  • GBI To Print
  • GNTT Post Title Ticker
  • Cryptocurrency Prijsvergelijking Widget
  • Genzel breadcrumbs
  • Old Posts Highlighter

運用担当者様へのお願い

定期的な対策チェックリスト

  • WordPress本体・プラグイン・テーマを常に最新バージョンに更新する
  • 使用していないプラグイン・テーマは削除する
  • 管理画面へのアクセス制限(IP制限、二要素認証)を設定する
  • 定期的にバックアップを取得し、復元手順を確認しておく
  • WAF(Web Application Firewall)の導入を検討する

脆弱性情報は日々更新されます。プラグインのアップデート通知を確認し、速やかに対応いただくことが、サイトを安全に保つための最善策です。

とはいえ、毎週これだけの脆弱性情報を追いかけ、一つひとつのプラグインを安全にアップデートしていくのは大変な作業です。「自社で対応したいけれど、WordPressに詳しいスタッフがいない」「本業が忙しくてセキュリティまで手が回らない」、そんな課題を抱えている企業様は、ぜひジオコードのWordPressセキュリティプランをご検討ください。WordPress本体・プラグイン・テーマのアップデート対応から、脆弱性の監視、改ざん検知まで、WordPressのセキュリティに関わることなら何でもサポートいたします。

あなたのサイトは大丈夫?SEO無料調査
GCアナリストチーム
この記事を書いた人 GCアナリストチーム

関連の記事

  1. セキュリティ

    WordPressプラグイン脆弱性情報(2026年4月6日)

    2026年4月7日
  2. セキュリティ

    WordPressプラグイン脆弱性情報(2026年4月13日)

    2026年4月13日
  3. セキュリティ

    WordPressプラグイン脆弱性情報(2026年4月20日)

    2026年4月27日
  4. セキュリティ

    WordPressプラグイン脆弱性情報(2026年4月27日)
あなたのサイトは大丈夫?SEO無料調査