WordPress サイトのセキュリティを維持するためには、プラグインを常に最新の状態に保つことが重要です。セキュリティ企業の Wordfence が公開した週次脆弱性レポート（2025年11月3日～11月9日）によると、今週も多くのプラグインに脆弱性が発見されました。

この記事では、その中から特に WooCommerce に関連するプラグインの脆弱性情報をピックアップし、日本語で概要と対策をまとめました。ご利用中のプラグインが含まれていないかご確認いただき、迅速な対応をお願いいたします。

脆弱性が確認された WooCommerce 関連プラグインと対策

セキュリティプラグイン「Wordfence」によって最近報告された脆弱性の中から、WooCommerceに関連するプラグインおよびテーマに絞って、その内容と対策を分かりやすく解説します。ご自身のサイトに該当するプラグインがないか、ぜひご確認ください。

---

CVSS 評価について

各脆弱性の深刻度を示す指標として「CVSS Rating」を記載しています。これは、共通脆弱性評価システム（CVSS: Common Vulnerability Scoring System）という国際的な基準に基づいたスコアで、脆弱性の技術的な深刻度を数値で表したものです。

• 9.0〜10.0: 緊急（Critical） – 最も深刻な脆弱性で、即座の対応が必要です。
• 7.0〜8.9: 高（High） – 深刻な脆弱性で、迅速な対応が求められます。
• 4.0〜6.9: 中（Medium） – 中程度の深刻度の脆弱性で、対応が推奨されます。
• 0.1〜3.9: 低（Low） – 深刻度は低いですが、可能な限り対応することが望ましいです。

---

ShopLentor – WooCommerce Builder for Elementor & Gutenberg

• 脆弱性レベル: 緊急 (Critical) – CVSS 9.8
• 脆弱性の概要: 認証されていないユーザーによる「ローカルPHPファイルのインクルード（LFI）」の脆弱性が発見されました。これは、攻撃者がサーバー内の任意のファイルを読み込ませたり、悪意のあるコードを実行させたりすることを可能にする非常に危険なものです。
• 想定される影響:
  • サイトの完全な乗っ取り
  • 顧客情報を含む機密データの漏洩
  • サイトの改ざん
• 推奨される対策: 開発者により修正パッチが公開されています。直ちに最新版へアップデートしてください。

Crypto Payment Gateway with Payeer for WooCommerce (修正パッチ非対応)

• 脆弱性レベル: 高 (High) – CVSS 7.5
• 脆弱性の概要: 認証されていないユーザーによる「支払い回避（Payment Bypass）」の脆弱性が報告されています。
• 想定される影響:
  • 代金を支払わずに商品を購入（注文完了）されてしまう
  • 在庫の不正な減少
  • 売上の損失
• 推奨される対策: 現時点（レポート公開時）で修正パッチは提供されていません。 安全が確認されるまでプラグインを**無効化（停止）**するか、代替の決済プラグインへの切り替えを強く推奨します。

Mail Mint – Newsletters, Email Marketing, Automation, WooCommerce Emails

• 脆弱性レベル: 高 (High) – CVSS 7.2
• 脆弱性の概要: 管理者権限を持つユーザーによる「任意のファイルアップロード」の脆弱性があります。通常、管理者は信頼できるユーザーですが、もし管理者アカウントが乗っ取られた場合、この脆弱性を利用してサーバーにバックドア（裏口）を仕掛けられる可能性があります。
• 想定される影響:
  • 管理者アカウント侵害時の被害拡大
  • 不正なファイルの実行
• 推奨される対策: 最新版へアップデートしてください。また、管理者アカウントのパスワード強化や二要素認証の導入も併せて推奨します。

FunnelKit Automations – Email Marketing Automation and CRM for WordPress & WooCommerce

• 脆弱性レベル: 中 (Medium) – CVSS 5.3
• 脆弱性の概要: 認証されていないユーザーに対する「機密情報の漏洩」および、特定の条件下での権限のないメール送信の脆弱性が報告されています。
• 想定される影響:
  • サイト設定やシステム情報の漏洩
  • サイトを踏み台にしたスパムメールの送信
• 推奨される対策: 最新版へアップデートしてください。

Flexible Refund and Return Order for WooCommerce

• 脆弱性レベル: 中 (Medium) – CVSS 5.3
• 脆弱性の概要: 本来権限を持たない「寄稿者（Contributor）」レベルのユーザーが、返金のステータスを不正に更新できてしまう「認可不備」の脆弱性があります。
• 想定される影響:
  • 返金処理の不正操作
  • 経理データの不整合
• 推奨される対策: 最新版へアップデートしてください。

Import Export For WooCommerce (修正パッチ非対応)

• 脆弱性レベル: 中 (Medium) – CVSS 4.3
• 脆弱性の概要: 「購読者（Subscriber）」レベルのログインユーザーが、本来許可されていない設定の更新を行えてしまう脆弱性があります。
• 想定される影響:
  • プラグイン設定の不正な書き換え
  • エクスポート/インポート機能への干渉
• 推奨される対策: 現時点（レポート公開時）で修正パッチは提供されていません。 信頼できないユーザー登録を受け付けているサイトでは、プラグインの無効化を検討してください。

---

一般的なセキュリティ対策

• 常に最新の状態を保つ: WordPress本体、テーマ、すべてのプラグインを常に最新バージョンにアップデートしてください。
• 不要なプラグインの削除: 使用していないプラグインやテーマは削除しましょう。
• 強力なパスワードの使用: 管理者アカウントには推測されにくい、複雑なパスワードを設定してください。
• セキュリティプラグインの導入: Wordfenceのようなセキュリティプラグインを導入し、設定を適切に行ってください。
• 定期的なバックアップ: サイトのデータを定期的にバックアップし、問題が発生した場合に復元できるようにしておきましょう。
• ユーザー権限の見直し: 各ユーザーアカウントに必要最小限の権限のみを付与してください。

免責事項

この記事は、提供されたWordfenceのレポートテキストに基づいて作成された概要です。脆弱性の詳細や正確な情報については、必ず元のレポートやプラグイン開発元の情報をご確認ください。プラグインのアップデートや削除は、ご自身の責任において実施してください。事前にバックアップを取得することを強く推奨します。