• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
  • Skip to footer

株式会社ハイファイブクリエイト

東京都を拠点にWebサイト制作やシステム構築、WordPress保守管理やウェブコンサルティングを提供。

  • SERVICE
  • ABOUT
  • WORKS
  • BLOG
  • NEWS
  • CONTACT
ホーム / ブログ / WordPress / WordPressサイト制作時の注意点。古すぎるプラグインを使っているとアップデートが困難に

WordPressサイト制作時の注意点。古すぎるプラグインを使っているとアップデートが困難に

池田祐太郎 | 2021年6月17日 公開 コメントを書く

WordPressでサイト制作をする大きいメリットの一つとして、プラグインが利用できる点が挙げられます。様々なプラグインが無償で公開されているため、ほしいと思った機能はたいていプラグインで手に入る、という素晴らしい環境です。

サイト制作を自分で(自社で)しても、制作会社(フリーランス)に依頼しても、いずれもプラグインを1つも使わないということは現実的にほぼあり得ません。

一方、注意したいのが「どんなプラグインを利用しているか」「正しくプラグインのメンテナンスができているか」ということ。

  • 公式ディレクトリから停止されたプラグイン
  • 最終更新日が数年前となっているプラグイン
  • 公開時からアップデートをしていない
  • 脆弱性が発見されたプラグインを利用している

ひとつでも上記に当てはまったら要注意。WordPressのアップデートができなかったり、いつの間にかサイトが改ざんされていたり、情報漏えいしていた、ということリスクがあるため非常に危険です。

一つずつ見ていきましょう。

目次

  • 1 公式ディレクトリから停止されたプラグイン
  • 2 最終更新日が数年前となっているプラグイン
  • 3 公開時からアップデートをしていない
  • 4 脆弱性が発見されたプラグインを利用している
  • 5 プラグインを適切にアップデートするには
  • 6 プラグインのアップデートは忘れずに

公式ディレクトリから停止されたプラグイン

WordPressのプラグインが安全に継続的に利用できるのは、WordPressが定めたガイドラインに則って開発者がプラグインを開発し、WordPress側もプラグインの審査を行っているからです。審査を通過後、ガイドラインに違反する行為が発見されても修正されなかったり、審査を通過したもののガイドラインに違反していたのが発覚した場合、プラグイン公式ディレクトリから停止されます。

停止後もガイドライン違反を修正しないと、公式ディレクトリから停止されるため、インストールやアップデートができません。

違反によって停止されたプラグインは時期と理由が明記される

ガイドラインに違反したプラグイン例:

  • social-media-mashup (ガイドライン違反)
  • wp-facebook-open-graph-protocol (ライセンス違反)
  • count-per-day(ガイドライン違反)
  • contact-form-7-datepicker (セキュリティの問題)

ガイドライン違反すると公式ディレクトリやWordPressのプラグイン新規追加からのプラグイン検索には引っかからなくなります。

存在している名前で検索しても検索結果に出ない

最終更新日が数年前となっているプラグイン

WordPressプラグインはWordPress自体のアップデートや新しいPHPのバージョンによる変更に対応したり、セキュリティ対応や修正等によってアップデートがされます。特に有名なプラグインや利用者が多いプラグインはアップデートが頻繁な傾向にあります。

一方、アップデートされないままのプラグインも存在します。

最終更新日が3年前となっている例。過去3回のメジャーアップデートに対応しておらず今後サポートされない可能性があるという注意文が記載されている。

その場合、このように公式ディレクトリのプラグインページに注意メッセージが表示されます。こうなってしまう背景としては、開発者が個人で、プラグインのメンテナンスに時間を割けない、開発を止めてしまった等が考えられます。WordPressのプラグインは原則無料で利用できるため直接の収益は見込めないため、なかなか個人で開発を続けることはそう簡単なことではありません。

最終更新日が古いプラグインの例:

  • WP Social Bookmarking Light (3年前)
  • Delete Custom Fields (9年前)
  • Theme Test Drive (6年前)

もし利用しようとしたプラグインの最終更新日が数年前だった場合、今後もメンテナンスされない可能性が高いため、利用時には代替プラグインがないか、機能はプラグインを導入しないで実現できないかどうか確認しましょう。

公開時からアップデートをしていない

サイト制作を制作会社に依頼し、無事公開し納品完了。WordPressからブログ記事の更新も行っている。ただ、公開してからWordPressやプラグインのアップデートをしていない。

このケースたまにあります。程度によりますが、結構リスクが高い可能性があります。WordPressはプラグイン含めてオープンソースで無料で利用できる反面、脆弱性が頻繁に世界中から報告され、その都度対応したバージョンが公開されています。

マイナーアップデートを有効化している場合は、自動的にセキュリティアップデートされたバージョンへアップデートされますが、そうではない場合は脆弱性があるバージョンのためリスクに晒されます。また、現時点でWordPress4.0以下はマイナーアップデートが行われていませんので、4.0以下のバージョンを使っている場合も同様です。

このように現時点で4.0以下は最終アップデートが2014年で止まっている(参照元)

プラグインはWordPressコアと異なり、各バージョンの最新という概念がなく、セキュリティリリースも新しいバージョンで実施されます。よって、プラグインは基本的に最新のバージョンにしておくのが望ましいです。また、プラグインによって必須WordPressバージョンが異なります。

各プラグインと必須WordPressバージョンの例

  • Contact Form 7: 5.5以降
  • Elementor Website Builder: 5.0以降
  • Yoast SEO: 5.6以降
  • Advanced Custom Fields: 4.7以降

例えば、2020年末に見つかったContact Form 7の脆弱性(以前記事書きました)は同プラグインのバージョン 5.3.1 以下において、セキュリティリスクに晒されるというもの(参考: NVDによるとセキュリティスコアは10点中で10点)でしたが、対応されたプラグインのバージョン5.3.2を利用できるWordPressのバージョンは5.4(当時)でした。なので、WordPress5.4未満の場合、Contact Form 7のアップデートができないため、WordPressを5.4以降にアップデートする必要があります。問題なくアップデートできればいいのですが、他にも影響が考えられる場合や、アップデートによって不具合が生じる場合はまずそこをクリアしないといけません。

サイト公開後にアップデートを全くしていないと、このように緊急的に発生するセキュリティアップデートに対応できず、リスクがある状態でサイト運用となってしまうため注意が必要です。

脆弱性が発見されたプラグインを利用している

上記とも重なりますが、脆弱性が発見されたプラグインを利用している場合セキュリティ対応された安全なバージョンを利用しないとリスクに晒されます。

脆弱性が発見されたプラグイン一例(対応バージョンにて解決済み)

  • Elementor Website Builder: 3.1.2以下でXSS
  • WooCommerce: 5.1以下でXSS
  • All in One SEO Pack: 3.6.1以下でXSS
  • Elementor Website Builder: 3.1.2以下でXSS
  • WPForms: 1.5.8以下でXSS
  • All-in-One WP Migration: 6.9以下でXSS
  • Welcart e-Commerce: 2.2.4以下でXSS
  • Custom Post Type UI: 1.7.2以下でCSRF
  • Ultimate Member: 2.1.11以下で権限昇格

これらは中には500百万以上のサイトで使われるほど、有名で人気のプラグインもあり、インストールしているサイトも多いでしょう。セキュリティアップデートされたバージョンが既にリリースされているため、アップデートを行っていれば問題有りませんが、適切にアップデートしていないと、脆弱性のあるバージョンを使っている状態になります。

サイト公開後からWordPress本体もアップデートできていない場合は、前述のように必須WordPressのバージョンに届かないためプラグイン側もアップデートできないという状態に陥ってしまいます。

個人のウェブサイトならまだしも、法人のコーポレートサイトや、特にECサイトや会員サイト等の場合、セキュリティ被害は深刻なダメージです。ご利用のWordPressサイトで脆弱性が発見されているバージョンを使っていないか早急にチェックしましょう。

プラグインを適切にアップデートするには

確認したところ、古いバージョンのプラグインが見つかった、脆弱性のあるバージョンを使っていた、公式ディレクエトリから削除されたプラグインを使っていた、最終更新日が数年前で使い続けていくのに不安、といった場合はどうすればいいでしょうか。

まずは焦らず落ち着いて、本番サイトでいきなりアップデート等は避けましょう。不具合が発生したりサイトが見られなくなる可能性があります。

テスト環境があるかどうか確認してください。ない場合は作成しましょう。同じサーバー上が望ましいです。

参照:WordPressのテストサイト・検証用環境の作り方

バックアップをとった上で、テストサイト上でプラグインの確認やアップデートの検証を行います。アップデート後はサイト一通りの確認や、管理画面側も確認します。まとめてアップデートすると不具合発生時にどのプラグインの影響かわからないため、一つずつアップデートしてという確認が好ましいです。

不具合が発生したプラグインがあれば、エラー内容を表示させるため、wp-config.php 内に記載されている WP_DEBUGをfalseからtrueに変更します。

// define( 'WP_DEBUG', false );
define( 'WP_DEBUG', true );

エラー内容を確認して対処します。エラーの内容がよくわからない……という場合は、WordPressのサポートフォーラムで過去に同様の事例がないか探してみたり、ウェブ検索したりするなりして、どうにか見てみましょう。それでも対応策がない場合は自力での対応は難しい可能性が高いので、プロに依頼するのが間違いありません。

プラグインのアップデートが問題なければ、WordPressコアやテーマも同様にアップデートします。アップデート後、再度プラグインのアップデートがあればそれも行い、すべてのアップデートを最新状態にします。これで問題なければ、いよいよ本番側もアップデートを行います。テスト側で行ったことがあればメモを残しておいて、本番側も同様の作業を行います。もちろんバックアップは忘れずに。

プラグインのアップデートは忘れずに

以上、脆弱性が発見されたバージョンを使っていてリスクがある状態でサイト運営をしていると注意というお話でした。WordPress保守管理サービスをお申し込みいただく際に状態を確認しますが、古いプラグインを使い続けていてリスキーなケースが頻繁にあります。ある日突然サイトが見られなくなっても困らなければいいかもしれませんが、会社サイトやECサイト、会員サイト等は大問題なので、適切に運用することをお勧めします。

メールコンサルティング
WordPress保守管理サービス

カテゴリWordPress 関連タグ:保守管理

池田祐太郎

WordPress の構築・保守を10年以上にわたって手掛けており、主に小〜中規模のコーポレートサイト・ECサイト・ブランドサイト等の企画・開発・保守・コンサルティングなどを行ってきました。2012年にハイファイブクリエイトを創業し、現在は WordPress の保守やコンサルティング、ディレクションや開発業務などを担当しています。 プロフィール詳細

Reader Interactions

コメントを残す コメントをキャンセル

メールアドレスが公開されることはありません。 ※ が付いている欄は必須項目です

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

この記事と関連する記事

WordPressのプラグイン自動更新のロールバック機能が正しく動くのか確認してみた
2024年8月7日
タグ: 保守管理
カテゴリー: WordPress
WordPressにおける突然のデータベース接続エラーと自動復旧の原因と解消法
2024年6月5日
タグ: 保守管理
カテゴリー: WordPress
あなたのサイトは大丈夫?ファイル一覧公開の危険性
2024年5月11日
タグ: SEO, セキュリティ, 保守管理
カテゴリー: 仕事のこと

最初のサイドバー

WordPress保守管理サポート

Search

最近の投稿

  • 2024-2025年末年始の営業のご案内
  • WordPressのプラグイン自動更新のロールバック機能が正しく動くのか確認してみた
  • 遅延読み込み開始させる画像を変更させるWordPressカスタマイズ
  • WordPressで特定の画像やアイキャッチ画像をlink rel=”preload”に設定する
  • WordPressのプラグインがどのくらい表示速度を重くさせるのか22個のプラグインで検証

カテゴリー

  • CSS初心者
  • HTML初心者
  • TIPS
  • WooCommerce
  • WordPress
  • エステサロン
  • お知らせ
  • キュレーション
  • サイトマップ
  • システム会社
  • デベロッパーツール入門
  • ブログ
  • ホームページ制作
  • ホームページ制作無料講座
  • メール
  • モバイル
  • 仕事のこと
  • 制作実績
  • 整体院
  • 美容院
  • 雑感

タグ

ai Android ChatGPT CMS css DALL-E elementor gmail google workspace Gutenberg HTML iPhone jQuery Mac Photoshop php SEO SNS ssh SSL Webサイト高速化 Windows WordPress WordPressカスタマイズ WordPressテーマ WordPress構築調査 WPRocket アクセス解析 クラウドソーシング サイト引っ越し サブスクリプション サーバー ショートカットキー スマホサイト スマートフォン セキュリティ ツール ブログ プラグイン マーケティング リニューアル レスポンシブWebデザイン 保守管理 最適化 集客するサイト構築

アーカイブ

CONTACT

お問い合わせはこちら

Footer

  • PRIVACY POLICY
  • 情報セキュリティ基本方針
  • 特定商取引法に基づく表示
  • 転載/引用

© 2025 high five create All rights reserved.