基礎知識 2025.05.01 2025.05.02

【2025年4月】WordPress脆弱性情報&注目ニュース まとめ|Automattic社が全従業員の約16%の人員削減を実施 など

この記事を書いた人

株式会社デジタルアイデンティティ wp.geek編集部

WordPressサイト制作サービス「wp.make」やWordPress保守・運用サービス「wp.support」などを展開する株式会社デジタルアイデンティティの情報発信チームです。お客様の課題解決に役立つ、WordPressの最新情報をお届けいたします。

Automattic社が全従業員の約16%の人員削減を実施

2025年4月、WordPress.comやTumblrを運営するAutomatticは、全従業員の約16%にあたる281名を対象とした人員削減を発表しました。

同社は2024年にも、WP Engineとの法的対立を受けて、CEOであるマット・マレンウェッグ氏の方針に同意しなかった社員に対して退職パッケージを提示し、159名の大規模な離職が発生しています。

今回のリストラについて、公式発表では以下のような目的が示されています。

  • より機敏で応答性の高い組織を目指す
  • 非効率の原因となっていた組織の縦割り構造を解消する
  • 製品の品質に注力し、取組みを絞って強化する
  • 長期的な成功に向けた持続可能な財務モデルを確立する

これらの方針からは、経営効率の向上と持続的な事業運営を重視していることがうかがえます。

一方でAutomatticは、WordPress向けのAI技術を開発するスタートアップ「WPAI」を買収するなど、AI領域への投資も積極的に進めています。また、2024年12月には投資家のBlackRockが同社の評価額を10%引き下げたことも明らかになっており、財務面でのプレッシャーも背景にあるようです。

生成AIの登場により、Webの構造やCMSの役割が大きく変わりつつある今、AutomatticとWordPressがその存在感を維持し続けるには、経営と技術の両面で大胆な変革が求められています。Automatticの今回の組織再編は、そうした時代の変化に対応するための一手といえるでしょう。

WordPress.comが数分でWebサイトを生成できる「AI Website Builder」を発表!

2025年4月9日、WordPress.comは新たなAI搭載のWebサイトビルダー「AI Website Builder」を発表しました。このツールは、ユーザーがチャット形式でAIに指示を出すだけで、テキスト、レイアウト、画像を含む本格的なWebサイトを数分で自動生成することができます。

AI Website Builderは、起業家や小規模ビジネスオーナー、フリーランサー、ブロガーなど、迅速に高品質なWebサイトを求めるユーザーを対象としています。ユーザーは、サイトの目的やデザインの希望をチャット形式で入力するだけで、AIがそれに応じたウェブサイトを生成します。

無料プランでは、AIビルダーを30回まで利用できます。
サイトを公開するには、有料のホスティングプラン(年間48ドルから)への加入が必要です。

現時点では新規サイト作成のみに対応しており、既存のWordPressサイトへの適用やeコマースサイトの構築には対応していませんが、今後の機能拡張が予定されています。

この新しい「AI Website Builder」は、ウェブサイト作成のハードルを大幅に下げ、初心者からプロフェッショナルまで幅広いユーザーにとって有用なツールとなるでしょう。興味のある方は、以下の公式ページから試してみてはいかがでしょうか?

AI Website Builder|WordPress.com

WordPressがメジャーリリースの頻度を年3回から年1回に変更

2025年4月、WordPressはメジャーリリースの頻度を年3回から年1回へと変更しました。初の適用は4月15日に公開されたバージョン6.8「Cecil」で、次回のメジャーアップデートは2026年を予定。マイナーリリース(セキュリティやバグ修正)は引き続き随時行われます。

この変更は、コアパフォーマンスの改善や技術的負債の解消、非商業的なプラグイン支援など、長期的な課題への集中を目的とされています。

ただ、WordPressのエグゼクティブディレクターであるメアリー・ハバード氏が、「この変更は現在の現実を反映したものであり、法的問題が解決されれば、以前のリリースサイクルに戻すことを強く検討する」と述べていることからも、WP Engineとの訴訟に大きなリソースが割かれていることも大きな要因と考えられます。

今後の開発体制やリリース方針がどのように変化していくのか、WordPress関係者として注視していきたいと思います。

2025年4月度のWordPress脆弱性情報

ここからは2025年4月度に発見された脆弱性をご紹介します。
今月はWordPressや主要なテーマ・プラグインに関連する脆弱性が54個発見されました。

自社のWordPressで使用している場合は、速やかに修正済みバージョンへのアップデート、アンインストール、代替プラグインへの差し替えなどの対策を行いましょう。

各テーマ・プラグインの正式な対応方法等については、それぞれの公式ページ等でご確認ください。

自社で対応が難しい場合には、WordPressのプロへの依頼も検討しましょう。

プラグインに関する脆弱性

  • Ultimate Member
  • 深刻度: 緊急
  • 脆弱性: SQLインジェクション
  • CVE: CVE-2025-0308
  • インストール数: 200,000+
  • 影響を受けるバージョン: Ultimate Member <= 2.10.1
  • 修正済みバージョン: Ultimate Member 2.10.2
  • Kadence WooCommerce Email Designer
  • 深刻度: 緊急
  • 脆弱性: 任意ファイルアップロード
  • CVE: CVE-2025-39557
  • インストール数: 100,000+
  • 影響を受けるバージョン: Kadence WooCommerce Email Designer <= 1.5.14
  • 修正済みバージョン: Kadence WooCommerce Email Designer 1.5.15
  • Jupiter X Core
  • 深刻度: 緊急
  • 脆弱性: PHPオブジェクトインジェクション
  • CVE: CVE-2025-2105
  • インストール数: 90,000+
  • 影響を受けるバージョン: Jupiter X Core <= 4.8.11
  • 修正済みバージョン: Jupiter X Core 4.8.12
  • User Registration & Membership
  • 深刻度: 緊急
  • 脆弱性: 権限昇格
  • CVE: CVE-2025-2563
  • インストール数: 60,000+
  • 影響を受けるバージョン: User Registration & Membership <= 4.1.1
  • 修正済みバージョン: User Registration & Membership 4.1.2
  • Greenshift
  • 深刻度: 高
  • 脆弱性: 任意ファイルアップロード
  • CVE: CVE-2025-3616
  • インストール数: 50,000+
  • 影響を受けるバージョン: Greenshift <= 11.4.5
  • 修正済みバージョン: Greenshift 11.4.6
  • Contact Form 7
  • 深刻度: 中
  • 脆弱性: 注文リプレイ攻撃
  • CVE: CVE-2025-3247
  • インストール数: 10,000,000+
  • 影響を受けるバージョン: Contact Form 7 <= 6.0.5
  • 修正済みバージョン: Contact Form 7 6.0.6
  • Essential Addons for Elementor
  • 深刻度: 中
  • 脆弱性: 機密データの漏洩
  • CVE: CVE-2025-39589
  • インストール数: 2,000,000+
  • 影響を受けるバージョン: Essential Addons for Elementor <= 6.1.9
  • 修正済みバージョン: Essential Addons for Elementor 6.1.10
  • Ocean Extra
  • 深刻度: 中
  • 脆弱性: コンテンツインジェクション
  • CVE: CVE-2025-3472
  • インストール数: 600,000+
  • 影響を受けるバージョン: Ocean Extra <= 2.4.6
  • 修正済みバージョン: Ocean Extra 2.4.7
  • Royal Elementor Addons and Templates
  • 深刻度: 中
  • 脆弱性: クロスサイトスクリプティング(XSS)
  • CVE: CVE-2025-39543
  • インストール数: 600,000+
  • 影響を受けるバージョン: Royal Elementor Addons and Templates <= 1.3.978
  • 修正済みバージョン: Royal Elementor Addons and Templates 1.3.979
  • Forminator Forms
  • 深刻度: 中
  • 脆弱性: 注文リプレイ攻撃
  • CVE: CVE-2025-3479
  • インストール数: 500,000+
  • 影響を受けるバージョン: Forminator Forms <= 1.42.0
  • 修正済みバージョン: Forminator Forms 1.42.1
  • Password Protected
  • 深刻度: 中
  • 脆弱性: 機密データの漏洩
  • CVE: CVE-2025-3453
  • インストール数: 300,000+
  • 影響を受けるバージョン: Password Protected <= 2.7.7
  • 修正済みバージョン: Password Protected 2.7.8
  • Element Pack Addons for Elementor
  • 深刻度: 中
  • 脆弱性: クロスサイトスクリプティング(XSS)
  • CVE: CVE-2025-1458
  • インストール数: 100,000+
  • 影響を受けるバージョン: Element Pack Addons for Elementor – Best Elementor addons with Ready Templates, Blocks, Widgets and WooCommerce Builder <= 5.10.29
  • 修正済みバージョン: Element Pack Addons for Elementor – Best Elementor addons with Ready Templates, Blocks, Widgets and WooCommerce Builder 5.10.30
  • Download Manager
  • 深刻度: 中
  • 脆弱性: 任意ファイル削除
  • CVE: CVE-2025-3404
  • インストール数: 100,000+
  • 影響を受けるバージョン: Download Manager <= 3.3.12
  • 修正済みバージョン: Download Manager 3.3.13
  • Social Sharing Plugin – Sassy Social Share
  • 深刻度: 中
  • 脆弱性: オープンリダイレクト
  • CVE: CVE-2025-39404
  • インストール数: 100,000+
  • 影響を受けるバージョン: Social Sharing Plugin – Sassy Social Share <= 3.3.73
  • 修正済みバージョン: Social Sharing Plugin – Sassy Social Share 3.3.74
  • Master Slider
  • 深刻度: 中
  • 脆弱性: アクセス制御の不備
  • CVE: CVE-2025-39412
  • インストール数: 70,000+
  • 影響を受けるバージョン: All versions, no fix available
  • 修正済みバージョン: No Fix
  • Simple Sitemap
  • 深刻度: 中
  • 脆弱性: アクセス制御の不備
  • CVE: CVE-2025-39413
  • インストール数: 70,000+
  • 影響を受けるバージョン: All versions, no fix available
  • 修正済みバージョン: No Fix
  • WordPress Tag, Category, and Taxonomy Manager – AI Autotagger
  • 深刻度: 中
  • 脆弱性: クロスサイトスクリプティング(XSS)
  • CVE: CVE-2025-0627
  • インストール数: 50,000+
  • 影響を受けるバージョン: WordPress Tag, Category, and Taxonomy Manager – AI Autotagger <= 3.29.9
  • 修正済みバージョン: WordPress Tag, Category, and Taxonomy Manager – AI Autotagger 3.30.0

テーマに関する脆弱性

  • Arrival
  • 深刻度: 高
  • 脆弱性: ローカルファイルインクルージョン
  • CVE: CVE-2025-32921
  • Number of Downloads: 126,390
  • 影響を受けるバージョン: All versions, no fix available
  • 修正済みバージョン: No Fix
  • CWW Portfolio
  • 深刻度: 高
  • 脆弱性: ローカルファイルインクルージョン
  • CVE: CVE-2025-39359
  • Number of Downloads: 85,610
  • 影響を受けるバージョン: All versions, no fix available
  • 修正済みバージョン: No Fix
  • Grace Mag
  • 深刻度: 高
  • 脆弱性: ローカルファイルインクルージョン
  • CVE: CVE-2025-39360
  • Number of Downloads: 70,093
  • 影響を受けるバージョン: All versions, no fix available
  • 修正済みバージョン: No Fix
  • Opstore
  • 深刻度: 高
  • 脆弱性: ローカルファイルインクルージョン
  • CVE: CVE-2025-39387
  • Number of Downloads: 82,183
  • 影響を受けるバージョン: All versions, no fix available
  • 修正済みバージョン: No Fix
  • Sirat
  • 深刻度: 中
  • 脆弱性: アクセス制御の不備
  • CVE: CVE-2025-39385
  • Number of Downloads: 355,294
  • 影響を受けるバージョン: All versions, no fix available
  • 修正済みバージョン: No Fix

WordPress保守・運用のパートナーなら「wp.support」にお任せ!

WordPressサイトを運用していて、以下のようなお悩みはありませんか?

  • 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
  • サイトのUI/UXを改善したいけれど、自社内では難しい…
  • WordPressサイトを高速化したいけれど、ノウハウがない…
  • セキュリティ対策をしたいけれど、知識のある人材がいない…
  • 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
  • ちょっとしたトラブルを気軽に相談できる相手が欲しい…

「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。

既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。

WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。

>> wp.supportに無料相談する

バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!

wp.support資料

WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?

面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!

【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...

WordPressに関することなら何でもご相談ください!

もっと詳しく