基礎知識 2025.08.01 2025.08.07
【2025年7月】WordPress脆弱性情報&注目ニュース まとめ|プラグインアップデート時にユーザー10%に先行リリース|段階的なロールアウトについて など
WordPressの最新シェア情報
今回から、WordPressの最新のシェア情報についてもお伝えしていきます。
W3Techsによると、2025年7月現在のWordPressの最新シェア状況は以下の通りです。
| CMSシェア | 60.8% |
|---|---|
| 全Webサイトにおけるシェア | 43.4% |
| Webサイト数 | 約5億3千万 |
参照元:Usage statistics and market share of WordPress|W3Techs
プラグインアップデート時にユーザー10%に先行リリース|段階的なロールアウトについて
WordPressでは、プラグインのアップデートを一部ユーザーに限定して段階的に配信する「フェーズドロールアウト」機能の導入が検討されています。これは共同創設者Matt Mullenweg氏が2025年7月に提案したもので、Google PlayやApp Storeのようにまず10%のユーザーに提供し、問題がなければ対象を拡大していく仕組みです。
この手法により、万が一のバグによる影響を最小限に抑えつつ、実際の環境でのテストやフィードバック収集が可能となり、プラグインの品質向上が期待されます。
技術的には、まず自動更新に限定して段階配信を行う案が有力で、早ければ2025年末のWordPress6.9で導入される可能性があります。
一方で、フィードバックの不足や対象ユーザーの選定など課題もあり、現在も開発者コミュニティで議論が続いています。
正式導入前でも、InstaWPなどの仮想環境を活用すれば、この機能のシミュレーションが可能です。
今後のWordPressプラグイン運用において注目すべき進化のひとつといえるでしょう。
参照元:
What’s new for developers? (July 2025)|WordPress開発者ブログ
「theme.json」を使わなくてもOK?ブロックテーマでCSS開発を行う方法を公式ブログで解説
WordPressのブロックテーマ開発では、「theme.json」の利用が標準となっていますが、必ずしも「theme.json」を使わなくてもテーマスタイルの管理できるとWordPressの開発者ブログで投稿がありました。
「You don’t need theme.json for block theme styles(訳:ブロックテーマスタイルにはtheme.jsonは必要ありません)」というタイトルの記事では、「theme.json」を使うのがベターであるとしたうえで、CSSに慣れた開発者が 「theme.json」に縛られる必要はないことが明言されています。
例えば、独自の「style.css」やブロック単位のスタイルシートを使うことで、必要な箇所にだけ効率的にスタイルを適用することができます。
また、「theme.json」を使用してカラープリセットやスペーシングを定義しつつ、それをCSSから参照するというハイブリッドな方法も可能です。
一方で 「theme.json」を使うと、サイトエディタのUIとの連携やグローバル設定の一元管理がしやすくなる利点があります。
したがって、「サイトエディタ対応を優先するのか」「柔軟なCSS設計を重視するのか」を使い分けていくことになります。
特に、UIのカスタマイズが不要な場合や、既存CSS資産を活用したい場面では、CSS主導で設計する方が便利なケースがあるでしょう。
今後のテーマ開発では「theme.json」とCSS、それぞれの利点を活かしたバランスのよいアプローチが求められます。
参照元:You don’t need theme.json for block theme styles|WordPress開発者ブログ
【2025年7月】WordPress バージョン 4.1〜4.6のセキュリティアップデート提供終了
先月のまとめ記事でもお伝えしましたが、重要な情報なので再度掲載いたします。
WordPress セキュリティチームは、2025年7月からWordPressバージョン 4.1〜4.6 に対するセキュリティアップデートの提供を終了すると発表しました。
これらのバージョンはリリースから9年以上が経過しており、全体の99%以上の WordPress サイトはすでにより新しいバージョンを利用しているため、影響は非常に限定的とされています。
対象バージョン使用者の管理画面には、更新を促す通知が表示されるとのこと。
もし、自分が運営するサイトが対象に該当する場合は、速やかなアップデートを推奨します。
なお、アップデートの際は必ずファイルとデータベースのバックアップを取得しましょう。特に古いバージョンからアップデートする場合は、プラグインやPHPバージョンとの互換性に問題が発生し、不具合が起こることもあります。
アップデートの方法については、以下の記事で詳しく解説していますので参考にしてください。
引用元:【2025年6月】WordPress脆弱性情報&注目ニュース まとめ
2025年7月度のWordPress脆弱性情報
ここからは2025年7月度に発見された脆弱性をご紹介します。
今月はWordPressや主要なテーマ・プラグインに関連する脆弱性が42個、テーマに関する脆弱性が2件発見されました。
自社のWordPressで使用している場合は、速やかに修正済みバージョンへのアップデート、アンインストール、代替プラグインへの差し替えなどの対策を行いましょう。
各テーマ・プラグインの正式な対応方法等については、それぞれの公式ページ等でご確認ください。
自社で対応が難しい場合には、WordPressのプロへの依頼も検討しましょう。
プラグインに関する脆弱性
- WPvivid Backup & Migration
- 深刻度: 緊急
- 脆弱性: 任意のファイルアップロード
- CVE: CVE-2025-5961
- インストール数: 700,000+
- 影響を受けるバージョン: WPvivid Backup & Migration <= 0.9.116
- 修正済みバージョン: WPvivid Backup & Migration 0.9.117
- Events Manager
- 深刻度: 緊急
- 脆弱性: SQLインジェクション
- CVE: CVE-2025-6970
- インストール数: 80,000+
- 影響を受けるバージョン: Events Manager <= 7.0.3
- 修正済みバージョン: Events Manager 7.0.4
- Contact Form 7 Database Addon – CFDB7
- 深刻度: 高
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-6740
- インストール数: 600,000+
- 影響を受けるバージョン: Contact Form 7 Database Addon – CFDB7 <= 1.3.1
- 修正済みバージョン: Contact Form 7 Database Addon – CFDB7 1.3.2
- Forminator Forms
- 深刻度: 高
- 脆弱性: PHPオブジェクトインジェクション
- CVE: CVE-2025-6464
- インストール数: 600,000+
- 影響を受けるバージョン: Forminator Forms <= 1.44.2
- 修正済みバージョン: Forminator Forms 1.44.3
- Forminator Forms
- 深刻度: 高
- 脆弱性: 任意のファイル削除
- CVE: CVE-2025-6463
- インストール数: 600,000+
- 影響を受けるバージョン: Forminator Forms <= 1.44.2
- 修正済みバージョン: Forminator Forms 1.44.3
- Forminator Forms
- 深刻度: 高
- 脆弱性: SQLインジェクション
- CVE: CVE-2025-7638
- インストール数: 600,000+
- 影響を受けるバージョン: Forminator Forms <= 1.45.0
- 修正済みバージョン: Forminator Forms 1.45.1
- Post SMTP
- 深刻度: 高
- 脆弱性: 認証の脆弱性
- CVE: CVE-2025-24000
- インストール数: 400,000+
- 影響を受けるバージョン: Post SMTP <= 3.2.3
- 修正済みバージョン: Post SMTP 3.3.0
- SureForms
- 深刻度: 高
- 脆弱性: 任意のファイル削除
- CVE: CVE-2025-6691
- インストール数: 200,000+
- 影響を受けるバージョン: SureForms <= 1.7.3
- 修正済みバージョン: SureForms 1.7.4
- SureForms
- 深刻度: 高
- 脆弱性: PHPオブジェクトインジェクション
- CVE: CVE-2025-6742
- インストール数: 200,000+
- 影響を受けるバージョン: SureForms <= 1.7.3
- 修正済みバージョン: SureForms 1.7.4
- SureForms
- 深刻度: 高
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-5921
- インストール数: 200,000+
- 影響を受けるバージョン: SureForms <= 1.7.1
- 修正済みバージョン: SureForms 1.7.2
- Dear Flipbook
- 深刻度: 高
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-5314
- インストール数: 100,000+
- 影響を受けるバージョン: Dear Flipbook <= 2.3.66
- 修正済みバージョン: Dear Flipbook 2.3.67
- AI Engine
- 深刻度: 高
- 脆弱性: オープンリダイレクション
- CVE: CVE-2025-6238
- インストール数: 100,000+
- 影響を受けるバージョン: AI Engine <= 2.8.4
- 修正済みバージョン: AI Engine 2.8.5
- Events Manager
- 深刻度: 高
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-6975
- インストール数: 80,000+
- 影響を受けるバージョン: Events Manager <= 7.0.3
- 修正済みバージョン: Events Manager 7.0.4
- JetFormBuilder
- 深刻度: 高
- 脆弱性: PHPオブジェクトインジェクション
- CVE: CVE-2025-53990
- インストール数: 80,000+
- 影響を受けるバージョン: JetFormBuilder <= 3.5.1
- 修正済みバージョン: JetFormBuilder 3.5.2
- Elementor Website Builder
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-4566
- インストール数: 10,000,000+
- 影響を受けるバージョン: Elementor Website Builder <= 3.30.2
- 修正済みバージョン: Elementor Website Builder 3.30.3
- Essential Addons for Elementor
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-6244
- インストール数: 2,000,000+
- 影響を受けるバージョン: Essential Addons for Elementor <= 6.1.19
- 修正済みバージョン: Essential Addons for Elementor 6.1.20
- Premium Addons for Elementor
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-11937
- インストール数: 700,000+
- 影響を受けるバージョン: Premium Addons for Elementor <= 4.10.69
- 修正済みバージョン: Premium Addons for Elementor 4.10.70
- Gutenberg Blocks with AI by Kadence WP
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-5678
- インストール数: 500,000+
- 影響を受けるバージョン: Gutenberg Blocks with AI by Kadence WP <= 3.5.10
- 修正済みバージョン: Gutenberg Blocks with AI by Kadence WP 3.5.11
- WP Shortcodes Plugin — Shortcodes Ultimate
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-5567
- インストール数: 500,000+
- 影響を受けるバージョン: WP Shortcodes Plugin — Shortcodes Ultimate <= 7.4.0
- 修正済みバージョン: WP Shortcodes Plugin — Shortcodes Ultimate 7.4.1
- WP Shortcodes Plugin — Shortcodes Ultimate
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-7354
- インストール数: 500,000+
- 影響を受けるバージョン: WP Shortcodes Plugin — Shortcodes Ultimate <= 7.4.2
- 修正済みバージョン: WP Shortcodes Plugin — Shortcodes Ultimate 7.4.3
- WP Shortcodes Plugin — Shortcodes Ultimate
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-8015
- インストール数: 500,000+
- 影響を受けるバージョン: WP Shortcodes Plugin — Shortcodes Ultimate <= 7.4.2
- 修正済みバージョン: WP Shortcodes Plugin — Shortcodes Ultimate 7.4.3
- Mollie Payments for WooCommerce
- 深刻度: 中
- 脆弱性: 不正な直接オブジェクト参照(IDOR)
- CVE: CVE-2025-39362
- インストール数: 100,000+
- 影響を受けるバージョン: Mollie Payments for WooCommerce <= 8.0.2
- 修正済みバージョン: Mollie Payments for WooCommerce 8.0.3
- AI Engine
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-5570
- インストール数: 100,000+
- 影響を受けるバージョン: AI Engine <= 2.8.4
- 修正済みバージョン: AI Engine 2.8.5
- Element Pack Elementor Addons and Templates
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-5944
- インストール数: 100,000+
- 影響を受けるバージョン: Element Pack Elementor Addons and Templates <= 8.0.9
- 修正済みバージョン: Element Pack Elementor Addons and Templates 8.1.0
- AI Engine
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-5570
- インストール数: 100,000+
- 影響を受けるバージョン: AI Engine <= 2.8.4
- 修正済みバージョン: AI Engine 2.8.5
- FooGallery
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-6068
- インストール数: 100,000+
- 影響を受けるバージョン: FooGallery <= 2.4.31
- 修正済みバージョン: FooGallery 2.4.32
- Strong Testimonials
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-7367
- インストール数: 100,000+
- 影響を受けるバージョン: Strong Testimonials <= 3.2.11
- 修正済みバージョン: Strong Testimonials 3.2.12
- AI Engine
- 深刻度: 中
- 脆弱性: 任意のファイルダウンロード
- CVE: CVE-2025-7780
- インストール数: 100,000+
- 影響を受けるバージョン: AI Engine <= 2.9.4
- 修正済みバージョン: AI Engine 2.9.5
- Events Manager
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-6976
- インストール数: 80,000+
- 影響を受けるバージョン: Events Manager <= 7.0.3
- 修正済みバージョン: Events Manager 7.0.4
- Brizy – Page Builder
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: CVE-2025-4370
- インストール数: 80,000+
- 影響を受けるバージョン: Brizy – Page Builder <= 2.6.20
- 修正済みバージョン: Brizy – Page Builder 2.6.21
- Media Library Assistant
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-7035
- インストール数: 70,000+
- 影響を受けるバージョン: Media Library Assistant <= 3.26
- 修正済みバージョン: Media Library Assistant 3.27
- WPC Smart Compare for WooCommerce
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-5530
- インストール数: 70,000+
- 影響を受けるバージョン: WPC Smart Compare for WooCommerce <= 6.4.6
- 修正済みバージョン: WPC Smart Compare for WooCommerce 6.4.7
- Ultra Addons for Contact Form 7
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-6756
- インストール数: 60,000+
- 影響を受けるバージョン: Ultra Addons for Contact Form 7 <= 3.5.21
- 修正済みバージョン: Ultra Addons for Contact Form 7 3.5.22
- Ultra Addons for Contact Form 7
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-6756
- インストール数: 60,000+
- 影響を受けるバージョン: Ultra Addons for Contact Form 7 <= 3.5.21
- 修正済みバージョン: Ultra Addons for Contact Form 7 3.5.22
- User Registration & Membership
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-6831
- インストール数: 60,000+
- 影響を受けるバージョン: User Registration & Membership <= 4.2.9
- 修正済みバージョン: User Registration & Membership 4.3.0
- WP-Members Membership Plugin
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-7495
- インストール数: 60,000+
- 影響を受けるバージョン: WP-Members Membership Plugin <= 3.5.4.1
- 修正済みバージョン: WP-Members Membership Plugin 3.5.4.2
- Post and Page Builder by BoldGrid
- 深刻度: 中
- 脆弱性: パストラバーサル
- CVE: CVE-2025-52712
- インストール数: 60,000+
- 影響を受けるバージョン: Post and Page Builder by BoldGrid <= 1.27.8
- 修正済みバージョン: Post and Page Builder by BoldGrid 1.27.9
- Companion Auto Update
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-4369
- インストール数: 50,000+
- 影響を受けるバージョン: Companion Auto Update <= 3.9.2
- 修正済みバージョン: Companion Auto Update 3.9.3
- Bold Page Builder
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-54006
- インストール数: 50,000+
- 影響を受けるバージョン: Bold Page Builder <= 5.4.1
- 修正済みバージョン: Bold Page Builder 5.4.2
- Stop User Enumeration
- 深刻度: 中
- 脆弱性: バイパス脆弱性
- CVE: CVE-2025-4302
- インストール数: 50,000+
- 影響を受けるバージョン: Stop User Enumeration <= 1.7.2
- 修正済みバージョン: Stop User Enumeration 1.7.3
- Structured Content (JSON-LD) #wpsc
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-4608
- インストール数: 50,000+
- 影響を受けるバージョン: Structured Content (JSON-LD) #wpsc <= 1.6.4
- 修正済みバージョン: No Fix
- Advanced iFrame
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-6987
- インストール数: 50,000+
- 影響を受けるバージョン: Advanced iFrame <= 2025.5
- 修正済みバージョン: Advanced iFrame 2025.6
テーマに関する脆弱性
- Alone
- 深刻度: 高(Critical)
- 脆弱性: アクセス管理の不備(Missing Authorization)に伴う任意ファイルアップロード
- CVE: CVE‑2025‑5394
- インストール数: 約9,000以上
- 影響を受けるバージョン: Alone <= 7.8.3
- 修正済みバージョン: Alone 7.8.5
- Hestia
- 深刻度: 中
- 脆弱性: アクセス管理の不備
- CVE: CVE-2025-53986
- インストール数: 4,446,823
- 影響を受けるバージョン: Hestia <= 3.2.10
- 修正済みバージョン: Hestia 3.2.11
- Educenter
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-5529
- インストール数: 175,744
- 影響を受けるバージョン: Educenter <= 1.6.2
- 修正済みバージョン: (現在、修正版無し)
WordPress保守・運用のパートナーなら「wp.support」にお任せ!
WordPressサイトを運用していて、以下のようなお悩みはありませんか?
- 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
- サイトのUI/UXを改善したいけれど、自社内では難しい…
- WordPressサイトを高速化したいけれど、ノウハウがない…
- セキュリティ対策をしたいけれど、知識のある人材がいない…
- 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
- ちょっとしたトラブルを気軽に相談できる相手が欲しい…
「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。
既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。
WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。
バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!
WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?
面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!
【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...
WordPressに関することなら何でもご相談ください!