過去24時間以内に、WordPressの人気プラグイン「WP Maps Pro」に極めて深刻な脆弱性(CVE-2026-8732)が発見され、活発な悪用が確認されています。この脆弱性により、認証されていない攻撃者がWordPressサイト上に管理者アカウントを自由に作成し、サイトを完全に掌握する危険性があります。Wordfenceの報告によると、過去24時間で数千件の攻撃がブロックされています。直ちにプラグインを最新バージョンに更新し、サイトのセキュリティを確保してください。
脆弱性の概要と影響範囲
WP Maps Proプラグインのバージョン6.1.0以下に存在するCVE-2026-8732は、CVSSスコア9.8の「クリティカル」に分類される権限昇格の脆弱性です。この問題は、プラグインのサポート機能である「一時的なアクセス」機能の実装不備に起因します。本来、サポートスタッフがトラブルシューティングのために顧客サイトにログインすることを目的としたこの機能が、`wp_ajax_nopriv_`フックに登録され、かつ必要なnonce(一時的なトークン)がフロントエンドページに公開されていたため、未認証のユーザーが悪用可能でした。
具体的な影響・攻撃シナリオ
攻撃者はこの脆弱性を悪用することで、未認証の状態で任意のWordPressサイトに管理者ユーザーを作成できます。管理者権限を奪取した攻撃者は、ウェブサイトのコンテンツ改ざん、悪意のあるプラグインやテーマのインストール、バックドアの設置、さらには機密情報の窃取など、あらゆる不正な操作を行うことが可能になります。特に、Wordfenceは過去24時間で2,858件もの攻撃を観測しており、積極的な悪用が行われていることを示しています。
エンジニアが今すぐ取るべき対策
最も重要な対策は、WP Maps Proプラグインを直ちに**バージョン6.1.1以降**にアップデートすることです。このバージョンで脆弱性は修正され、エンドポイントへのアクセスが認証済み管理者のみに制限されました。
また、一般的なWordPressサイトのセキュリティ強化策として、`uploads`ディレクトリ内でのPHPスクリプト実行を禁止する設定をサーバーレベルで適用することを強く推奨します。これにより、万が一サイトが侵害され、攻撃者がウェブシェルなどの悪意のあるPHPファイルをアップロードした場合でも、その実行を防ぐことができます。
location ~* /(?:uploads|files)/.*\.php$ {
deny all;
}上記Nginx設定は、`uploads`または`files`ディレクトリ内のPHPファイルの実行を拒否します。Apacheを使用している場合は、同等の`.htaccess`ルールを適用してください。
📦