ワードプレスで昨今最も狙われているプラグインの脆弱性６選

投稿:2025年11月14日

当社で統計しているワードプレスで昨今最も狙われているプラグインの脆弱性６選をご紹介いたします。ご紹介しているプラグインがサイトに導入されている(有効化・非有効化)場合は最新バージョンへのアップデート又は使用されていない場合は削除いただくことをお勧めいたします。

この記事の目次

１位　WooCommerce Designer Pro 1.9.26 以下
２位　Automatic by ValvePress　3.92.0以下
３位 WordPress Duplicator　1.3.28以下
４位　ProfilePress　3.1.3以下
５位 Simple File List 3.2.7以下
６位 File Manager 6.9以下

１位　WooCommerce Designer Pro 1.9.26 以下

この脆弱性はWooCommerce Designer Proの1.9.26 以下の脆弱性で、ワードプレスの任意のファイルを削除できてしまうという大変危険な脆弱性となります。攻撃はadmin-ajax.php(ワードプレスのAJAX関数用ファイル)にaction=wcdp_save_canvas_design_ajaxを送信することで行われます。

脆弱性情報はこちらから
https://wp-doctor.jp/blog/vulnerabilities/wc-designer-pro-exploit-cve-2025-6439/

２位　Automatic by ValvePress　3.92.0以下

Automatic by ValvePressの脆弱性はSQLインジェクション攻撃によってデータベースを書き換えられてしまうというものです。不正なワードプレスのユーザーの生成にこの脆弱性が利用されていると考えられます。
ハッカーは下記のファイルへ任意の不正なSQL文を送信して攻撃を実施します。
/wp-content/plugins/wp-automatic/inc/csv.php

脆弱性情報はこちらから
https://wp-doctor.jp/blog/vulnerabilities/wp-automatic-exploit-cve-2024-27956/

３位 WordPress Duplicator　1.3.28以下

このプラグインの脆弱性は、ワードプレス上の任意のファイルをダウンロードしてハッカーが閲覧できてしまうという物になります。攻撃はadmin-ajax.php(ワードプレスのAJAX関数用ファイル)にアクションduplicator_download　というクエリやダウンロードファイルのパスを送信して任意のファイルをダウンロードします。
wp-config.phpがダウンロードされてしまうとデータベースへの接続パスワード等が露見してしまい、不正なユーザーを追加されたりコンテンツの書き換えなどの被害を受ける可能性があります。

脆弱性情報はこちらから
https://wp-doctor.jp/blog/vulnerabilities/duplicator-exploit-cve-2020-11738/

４位　ProfilePress　3.1.3以下

このプラグインの脆弱性はハッカーが任意の不正な管理者ユーザーをサイトに登録できてしまう脆弱性です。攻撃はadmin-ajax.php(ワードプレスのAJAX関数用ファイル)のアクションpp_ajax_signupに不正なクエリを送信して実行されます。

脆弱性情報はこちらから
https://wp-doctor.jp/blog/vulnerabilities/wp-user-avatar-exploit-cve-2021-34621/

５位 Simple File List 3.2.7以下

このプラグインの脆弱性は、ワードプレス上の任意のファイルをダウンロードしてハッカーが閲覧できてしまうという物になります。
下記のファイルに不正なクエリが送信され、任意のファイルがダウンロードされハッカーに閲覧される可能性がります。
/wp-content/plugins/simple-file-list/includes/ee-downloader.php

脆弱性情報はこちらから
https://wp-doctor.jp/blog/vulnerabilities/simple-file-list-exploit-cve-2022-1119/

６位 File Manager 6.9以下

このプラグインの脆弱性が悪用されると、ハッカーが、悪意のあるファイルをアップロードし実行することで、 WordPress サイト上で任意のコードを実行される可能性があります。
当社にマルウェア駆除をご依頼いただくクライアント様で一番多いのがこのプラグインの脆弱性を狙ったものである可能性が高く特にこの脆弱性にご注意ください。
下記のファイルに不正なクエリが送信され不正なファイルがサーバー上に生成されます。
/wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php

脆弱性情報はこちらから
https://wp-doctor.jp/blog/vulnerabilities/wp-file-manager-exploit-cve-2020-25213/

サイトがマルウェアに感染してしまった場合はプラグインでマルウェア検査駆除を行う事が可能です。
【無料】ワードプレス:マルウェアスキャン＆セキュリティープラグイン [マルウェア・ウィルス検出と駆除]

また、ワードプレスサイトのマルウェア駆除、セキュリティー対策の専門家集団WPドクターにマルウェア駆除をご依頼いただくことも可能です。お気軽にご依頼・ご相談お送りください。

WordPress ワードプレスのマルウェア駆除のご依頼はWPドクターまでお気軽にお送りください

著者 WPドクターセキュリティチーム (リーダー吉田僚太)

ハッキングされたワードプレスサイトのマルウェア駆除、セキュリティ対策を年間数百件請け負う。ワードプレスサイトのマルウェア感染により、被害を受けるサイトを多数見てきた経験から、ワードプレスサイトのハッキング被害をなんとか減らしたいとの思いから日本で初めてワードプレスのマルウェア検出プログラムを開発。好評を経て数千回ダウンロードされたことから、その後WPドクターマルウェア検出プラグインにプログラム進化させ、リリース。プラグインは現在数万サイトで利用されている。１００万件を超えるマルウェアファイルの収集分析、その検出パターンの生成、脆弱性データベースの構築など、プラグインの機能や検出力強化を担当している。また個別マルウェア駆除の依頼をより高精度に行うための作業フローの開発・洗練や再感染を防ぐ為のセキュリティー対策方法を日々研究している。

著者の記事一覧(カテゴリーセキュリティ・脆弱性・マルウェア駆除)
Wordpress.org公式アカウント