WordPress サイトのセキュリティを維持するためには、プラグインを常に最新の状態に保つことが重要です。セキュリティ企業の Wordfence が公開した週次脆弱性レポート（2025年9月1日～9月7日）によると、今週も多くのプラグインに脆弱性が発見されました。

この記事では、その中から特に WooCommerce に関連するプラグインの脆弱性情報をピックアップし、日本語で概要と対策をまとめました。ご利用中のプラグインが含まれていないかご確認いただき、迅速な対応をお願いいたします。

脆弱性が確認された WooCommerce 関連プラグインと対策

セキュリティプラグイン「Wordfence」によって最近報告された脆弱性の中から、WooCommerceに関連するプラグインおよびテーマに絞って、その内容と対策を分かりやすく解説します。ご自身のサイトに該当するプラグインがないか、ぜひご確認ください。

---

CVSS 評価について

各脆弱性の深刻度を示す指標として「CVSS Rating」を記載しています。これは、共通脆弱性評価システム（CVSS: Common Vulnerability Scoring System）という国際的な基準に基づいたスコアで、脆弱性の技術的な深刻度を数値で表したものです。

• 9.0〜10.0: 緊急（Critical） – 最も深刻な脆弱性で、即座の対応が必要です。
• 7.0〜8.9: 高（High） – 深刻な脆弱性で、迅速な対応が求められます。
• 4.0〜6.9: 中（Medium） – 中程度の深刻度の脆弱性で、対応が推奨されます。
• 0.1〜3.9: 低（Low） – 深刻度は低いですが、可能な限り対応することが望ましいです。

---

REHub – Price Comparison, Multi Vendor Marketplace WordPress Theme

• 脆弱性のレベル: 高 (CVSS: 7.3) および 中 (CVSS: 5.3)
• 脆弱性の概要: 2つの脆弱性が報告されています。
  1. 認証されていない（ログインしていない）攻撃者が、サイト上で任意のショートコードを実行できてしまう問題。
  2. 認証されていない攻撃者が、パスワードで保護された投稿の内容を閲覧できてしまう問題。
• 考えられる影響: サイト上の情報が漏洩したり、意図しないコンテンツが表示されたりする可能性があります。
• 推奨される対策: 直ちに最新バージョンにアップデートしてください。

Miraculous – Multi Vendor Online Music Store Elementor WordPress Theme

• 脆弱性のレベル: 高 (CVSS: 7.5)
• 脆弱性の概要: 認証されていない攻撃者が、データベースに対して不正な操作（SQLインジェクション）を行える可能性があります。
• 考えられる影響: データベース内の情報（顧客情報、注文情報など）が盗まれたり、改ざんされたりする危険性があります。
• 推奨される対策: 直ちに最新バージョンにアップデートしてください。

Flatsome

• 脆弱性のレベル: 中 (CVSS: 6.4)
• 脆弱性の概要: 投稿者以上の権限を持つユーザーが、ショートコードを悪用して悪意のあるスクリプトを保存できてしまう問題（ストアドクロスサイトスクリプティング）。
• 考えられる影響: サイトを閲覧した他のユーザーや管理者のブラウザ上で不正なスクリプトが実行され、アカウントが乗っ取られるなどの被害に遭う可能性があります。
• 推奨される対策: 直ちに最新バージョンにアップデートしてください。

Ibtana – Ecommerce Product Addons (修正パッチ非対応)

• 脆弱性のレベル: 中 (CVSS: 6.4)
• 脆弱性の概要: 投稿者以上の権限を持つユーザーが、悪意のあるスクリプトをサイトに保存できてしまう問題（ストアドクロスサイトスクリプティング）。
• 考えられる影響: サイト訪問者や管理者の情報が盗まれたり、不正な操作をされたりする可能性があります。
• 推奨される対策: 修正パッチが提供されていません。プラグインを直ちに無効化し、削除してください。代替プラグインの利用を強く推奨します。

Woocommerce Notify Updated Product (修正パッチ非対応)

• 脆弱性のレベル: 中 (CVSS: 6.1)
• 脆弱性の概要: 攻撃者が管理者などを騙して特定のリンクをクリックさせることで、サイトに悪意のあるスクリプトを埋め込むことができてしまう問題（クロスサイトリクエストフォージェリを介したストアドクロスサイトスクリプティング）。
• 考えられる影響: 管理者アカウントの乗っ取りや、サイトの改ざんにつながる可能性があります。
• 推奨される対策: 修正パッチが提供されていません。プラグインを直ちに無効化し、削除してください。代替プラグインの利用を検討してください。

Bonus for Woo (修正パッチ非対応)

• 脆弱性のレベル: 中 (CVSS: 5.3)
• 脆弱性の概要: 入力値の検証が不十分であるため、意図しない動作を引き起こす可能性があります。
• 考えられる影響: 具体的な影響は状況によりますが、セキュリティ上のリスクにつながる可能性があります。
• 推奨される対策: 修正パッチが提供されていません。プラグインを直ちに無効化し、削除することを検討してください。

Payoneer Checkout (修正パッチ非対応)

• 脆弱性のレベル: 中 (CVSS: 5.3)
• 脆弱性の概要: 認証や権限のチェックが不十分なため、権限のないユーザーが特定の操作を行えてしまう可能性があります。
• 考えられる影響: 設定の不正な変更や、情報漏洩につながる可能性があります。
• 推奨される対策: 修正パッチが提供されていません。プラグインを直ちに無効化し、削除してください。代替の決済プラグインを検討してください。

Payments Plugin and Checkout Plugin for WooCommerce: Stripe, PayPal, Square, Authorize.net

• 脆弱性のレベル: 中 (CVSS: 5.3)
• 脆弱性の概要: 認証や権限のチェックが不十分なため、権限のないユーザーが特定の操作を行えてしまう可能性があります。
• 考えられる影響: 不正な設定変更などが行われる可能性があります。
• 推奨される対策: 直ちに最新バージョンにアップデートしてください。

ELEX WooCommerce Google Shopping (Google Product Feed)

• 脆弱性のレベル: 中 (CVSS: 4.9)
• 脆弱性の概要: 管理者権限を持つユーザーが、データベースに対して不正な操作（SQLインジェクション）を行える可能性があります。
• 考えられる影響: 信頼できる管理者のみが対象ですが、他の脆弱性と組み合わされるとリスクが高まります。
• 推奨される対策: 直ちに最新バージョンにアップデートしてください。

License Manager for WooCommerce (修正パッチ非対応)

• 脆弱性のレベル: 中 (CVSS: 4.9)
• 脆弱性の概要: 管理者権限を持つユーザーが、データベースに対して不正な操作（SQLインジェクション）を行える可能性があります。
• 考えられる影響: 他の脆弱性と組み合わされることで、データベースの情報が危険に晒される可能性があります。
• 推奨される対策: 修正パッチが提供されていません。プラグインを無効化し、代替プラグインを探すことを推奨します。

Email Marketing… for WordPress and WooCommerce – Mail Mint

• 脆弱性のレベル: 中 (CVSS: 4.9)
• 脆弱性の概要: 管理者権限を持つユーザーが、データベースに対して不正な操作（SQLインジェクション）を行える可能性があります。
• 考えられる影響: 他の脆弱性と組み合わされることで、データベースの情報が危険に晒される可能性があります。
• 推奨される対策: 直ちに最新バージョンにアップデートしてください。

GoUrl Bitcoin Payment Gateway & Paid Downloads & Membership (修正パッチ非対応)

• 脆弱性のレベル: 中 (CVSS: 4.4)
• 脆弱性の概要: 管理者権限を持つユーザーが、悪意のあるスクリプトをサイトに保存できてしまう問題（ストアドクロスサイトスクリプティング）。
• 考えられる影響: 管理者アカウントが他の攻撃者によって悪用された場合、サイトが乗っ取られる危険性があります。
• 推奨される対策: 修正パッチが提供されていません。プラグインを無効化し、代替の決済プラグインを検討してください。

Custom WooCommerce Checkout Fields Editor (修正パッチ非対応)

• 脆弱性のレベル: 中 (CVSS: 4.3)
• 脆弱性の概要: 攻撃者が管理者などを騙して特定のリンクをクリックさせることで、意図しない操作を実行させられてしまう問題（クロスサイトリクエストフォージェリ）。
• 考えられる影響: プラグインの設定が不正に変更される可能性があります。
• 推奨される対策: 修正パッチが提供されていません。プラグインを無効化し、代替プラグインを検討してください。

Order Delivery Date for WooCommerce

• 脆弱性のレベル: 中 (CVSS: 4.3)
• 脆弱性の概要: 認証や権限のチェックが不十分なため、権限のないユーザーが特定の操作を行えてしまう可能性があります。
• 考えられる影響: 不正な設定変更などが行われる可能性があります。
• 推奨される対策: 直ちに最新バージョンにアップデートしてください。

Product Carousel Slider for Elementor (修正パッチ非対応)

• 脆弱性のレベル: 中 (CVSS: 4.3)
• 脆弱性の概要: 認証や権限のチェックが不十分なため、権限のないユーザーが特定の操作を行えてしまう可能性があります。
• 考えられる影響: 意図しない操作が行われる可能性があります。
• 推奨される対策: 修正パッチが提供されていません。プラグインを無効化し、代替プラグインを検討してください。

TrustMate.io – WooCommerce integration (修正パッチ非対応)

• 脆弱性のレベル: 中 (CVSS: 4.3)
• 脆弱性の概要: 攻撃者が管理者などを騙して特定のリンクをクリックさせることで、意図しない操作を実行させられてしまう問題（クロスサイトリクエストフォージェリ）。
• 考えられる影響: プラグインの設定が不正に変更される可能性があります。
• 推奨される対策: 修正パッチが提供されていません。プラグインを無効化し、代替プラグインを検討してください。

Woocommerce Gifts Product (修正パッチ非対応)

• 脆弱性のレベル: 中 (CVSS: 4.3)
• 脆弱性の概要: 攻撃者が管理者などを騙して特定のリンクをクリックさせることで、意図しない操作を実行させられてしまう問題（クロスサイトリクエストフォージェリ）。
• 考えられる影響: プラグインの設定が不正に変更される可能性があります。
• 推奨される対策: 修正パッチが提供されていません。プラグインを無効化し、代替プラグインを検討してください。

WooCommerce Single Page Checkout (修正パッチ非対応)

• 脆弱性のレベル: 中 (CVSS: 4.3)
• 脆弱性の概要: 攻撃者が管理者などを騙して特定のリンクをクリックさせることで、意図しない操作を実行させられてしまう問題（クロスサイトリクエストフォージェリ）。
• 考えられる影響: プラグインの設定が不正に変更される可能性があります。
• 推奨される対策: 修正パッチが提供されていません。プラグインを無効化し、代替プラグインを検討してください。

Klarna Order Management for WooCommerce

• 脆弱性のレベル: 低 (CVSS: 2.7)
• 脆弱性の概要: ショップ管理者以上の権限を持つユーザーが、ログファイルを通じて機密情報を閲覧できてしまう可能性があります。
• 考えられる影響: 限定的ですが、意図しない情報漏洩につながる可能性があります。
• 推奨される対策: 直ちに最新バージョンにアップデートしてください。

---

一般的なセキュリティ対策

• 常に最新の状態を保つ: WordPress本体、テーマ、すべてのプラグインを常に最新バージョンにアップデートしてください。
• 不要なプラグインの削除: 使用していないプラグインやテーマは削除しましょう。
• 強力なパスワードの使用: 管理者アカウントには推測されにくい、複雑なパスワードを設定してください。
• セキュリティプラグインの導入: Wordfenceのようなセキュリティプラグインを導入し、設定を適切に行ってください。
• 定期的なバックアップ: サイトのデータを定期的にバックアップし、問題が発生した場合に復元できるようにしておきましょう。
• ユーザー権限の見直し: 各ユーザーアカウントに必要最小限の権限のみを付与してください。

免責事項

この記事は、提供されたWordfenceのレポートテキストに基づいて作成された概要です。脆弱性の詳細や正確な情報については、必ず元のレポートやプラグイン開発元の情報をご確認ください。プラグインのアップデートや削除は、ご自身の責任において実施してください。事前にバックアップを取得することを強く推奨します。