OVERVIEW
WordPress用セキュリティプラグイン「Anti-Malware Security and Brute-Force Firewall」に、2025年10月3日、Arbitrary File Read(任意ファイル読み取り)の脆弱性が報告されました。これは認証済みの攻撃者がサブスクライバーレベルの権限でサーバー上の任意のファイルを読み取ることが可能となる重大な問題です。
Anti-Malware Security and Brute-Force Firewallとは
Anti-Malware Security and Brute-Force Firewallは、マルウェアスキャナー、ブルートフォース攻撃対策、その他多くのセキュリティ機能を提供するWordPressプラグインです。WordPress.orgでは10万以上の有効インストールとして扱われるほど広く導入されています。
サイトのセキュリティ強化を目的としたプラグインでありながら、今回の脆弱性により逆にセキュリティリスクを生み出してしまうという皮肉な状況となっています。WordPressがWeb全体の大きな比率を占めることを踏まえると、このプラグインに関する問題の影響範囲は無視できません。
発見された問題とは
プラグイン内の複数のGOTMLS_* AJAXアクションにおいて権限チェックが欠如しており、ログインしたユーザーが最低限の権限(購読者レベル)でも任意のファイルを読み取ることが可能でした。平たく言えば「この操作を実行する権限があるか?」という確認が甘い箇所があったということです。
その結果、権限の低いユーザーがサーバー上の任意のファイルにアクセスし、機密情報を取得する恐れが指摘されています。特に、サイトのwp-config.phpファイルなど、データベースの認証情報や暗号化キーが含まれるファイルが標的となる可能性があります。
影響とリスク
データベース認証情報の漏洩でサイト全体が乗っ取られる、暗号化キーの取得でセキュリティが破綻する、機密ファイルの読み取りで個人情報が流出するといった実害に直結します。
セキュリティプラグイン自体が脆弱性の原因となっているため、サイト運営者の信頼を大きく損なう可能性があり、結果としてブランド毀損と復旧コストの増大という経営上のリスクが高まります。
対処方法
- プラグイン更新:管理画面から「Anti-Malware Security and Brute-Force Firewall」を最新版(4.23.83以降)へ更新してください。4.23.83ではGOTMLS_kill_invalid_user()関数の追加により、適切な権限チェックが実装されています。
- 動作確認:更新後にプラグインの機能が正常に動作することを確認し、マルウェアスキャンやブルートフォース対策が適切に機能しているか点検します。併せてセキュリティプラグインによるスキャンを一度実行し、異常の有無を確認してください。
- バックアップ運用:ファイルとDBの定期バックアップをスケジュール化し、リストア手順を年数回はリハーサルします。更新前後に自動スナップショットを取れる環境にしておくと、復旧時間を大きく短縮できます。
まとめ
本件は権限チェックの欠如に起因するセキュリティ問題で、最新版への更新と基本的な点検・バックアップ体制の整備で大半のリスクは抑えられます。運営者が押さえるべきポイントは「最新化」「検証」「復旧準備」の三点に集約され、いずれも日常運用で継続可能な対策です。
定期更新・簡易点検・定期バックアップを習慣化すれば、同種の不具合や脆弱性に対しても強い運用に近づきます。今回を機に、更新ポリシーとバックアップ体制の再点検をおすすめします。
参考
弊社では、WordPressサイトの定期的な保守サービスを提供しています。
バックアップ、アップデート、表示チェック、ウイルススキャンなどを定期的に専門のエンジニアが手動で実施いたします。
これらをプログラムにより自動的に実施せず手動にすることで、状況による柔軟な対応や問題の即時発見と修復が可能で、サイト運営者様が長期間操作やチェックをしなくても常に最新で最適なセキュリティ状態に保つことができます。
また、不正ログインや外部からの攻撃に対して独自設定のファイアウォールにより24時間サイトを守ります。攻撃の増加や異常を検知した場合には、エンジニアが駆け付けて迅速に対応いたします。
安心してサイト運営を続けていただけるよう、全力でサポートいたします。ぜひ、弊社のサービスをご利用ください。
▼ WordPressサイトのセキュリティ保守サービスはこちら ▼
