WPvivid Backupに致命的な脆弱性が発覚!今すぐ確認すべき設定と対処方法を解説します

2026.02.13

OVERVIEW

2026年2月、WordPress用バックアッププラグイン「WPvivid Backup & Migration」に、80万以上のサイトに影響を与える重大な脆弱性が報告されました。この脆弱性は攻撃者がログインすることなく、サーバー上で任意のコードを実行できるという極めて深刻な問題です。

特に注目すべきは、昨年2025年6月に「All-in-One WP Migration」の利用規約が変更され、クライアントワークでの利用が原則禁止となったことで、代替プラグインとしてWPvivid Backupの利用者が急増していた背景があります。この脆弱性は、まさにそのタイミングで発見されました。

WPvivid Backup & Migrationとは

WPvivid Backup & Migrationは、WordPressサイトのバックアップ、復元、サイト間移行を無料で行えるプラグインです。WordPress.orgでは80万以上の有効インストールとして扱われるほど広く導入されています。

特に、容量制限がなく無料で使える点が評価され、Web制作現場やサイト運営者に支持されてきました。しかし、今回の脆弱性により、このプラグインを使用している多くのサイトがセキュリティリスクに晒される事態となりました。

なぜ今WPvivid Backupが注目されているのか

従来、WordPress制作現場では「All-in-One WP Migration」が広く使われていました。操作が簡単で、サイトの移行作業を効率化できることから、フリーランスや制作会社を問わず重宝されてきたプラグインです。

しかし、2025年6月17日に利用規約が改定され、クライアントサイトでの使用や顧客から依頼された移行サービスへの使用が原則禁止となりました。つまり、Web制作会社やフリーランスが仕事でAll-in-One WP Migrationを使うことが規約違反となってしまったのです。

この規約変更を受けて、多くの制作者が代替プラグインを探すことになり、その有力候補として浮上したのがWPvivid Backupでした。無料で容量制限がなく、All-in-One WP Migrationと同様の機能を持つため、ここ数ヶ月で利用者が急増していたのです。

そのタイミングで今回の重大な脆弱性が発見されたことは、極めて憂慮すべき事態といえます。

発見された脆弱性の詳細

今回発見された脆弱性には、CVE-2026-1357という識別番号が割り当てられ、CVSS(共通脆弱性評価システム)スコアは9.8(Critical:最高レベル)と評価されています。

  • 影響を受けるバージョン:0.9.123以下の全バージョン
  • 修正バージョン:0.9.124
  • 脆弱性の種類:未認証の任意ファイルアップロード
  • 発見日:2026年1月12日
  • 修正版リリース日:2026年1月28日

何が問題だったのか

この脆弱性は、サイト間でバックアップファイルを転送する機能に存在していました。技術的には以下のような複数の問題が組み合わさって発生しています:

1. 暗号化処理のエラーハンドリング不備
プラグインは、別のサイトからバックアップを受け取る際、RSA暗号化で保護されたセッションキーを復号化します。しかし、復号化に失敗した場合でも処理を続行してしまい、「false(失敗)」という値をそのまま暗号化キーとして使ってしまうという問題がありました。

2. 予測可能なヌルバイトキーの使用
復号化に失敗すると、暗号化ライブラリは「false」を「ヌルバイト(空のデータ)」として扱います。つまり、攻撃者は誰でも知っている「ヌルバイトキー」で暗号化したデータを送り込むことができたのです。

3. ファイル名の検証不足
アップロードされるファイル名の検証が不十分で、ディレクトリトラバーサル(「../」などを使って本来アクセスできないフォルダに侵入する手法)が可能でした。これにより、攻撃者は保護されたバックアップディレクトリから脱出し、公開ディレクトリに悪意あるPHPファイルをアップロードできました。

4. ファイル種類のチェック不足
バージョン0.9.123以前では、アップロードされるファイルの種類(拡張子)を十分にチェックしていませんでした。本来はバックアップファイル(.zip、.gz等)のみを受け付けるべきですが、PHPファイルなどの実行可能なファイルもアップロードできてしまったのです。

重要な補足:影響を受ける条件

この脆弱性について理解しておくべき重要なポイントがあります。この脆弱性が深刻な影響を与えるのは、「サイト間転送機能」を有効にしているサイトのみです。

  • デフォルトでは無効:この機能は初期状態では無効になっています
  • 手動でキー生成が必要:プラグイン設定画面で明示的にキーを生成する必要があります
  • キー有効期限は最大24時間:生成したキーは最長でも24時間で失効します

つまり、通常のバックアップや復元だけに使っている場合は、直接的な影響は限定的です。しかし、脆弱性が存在すること自体がリスクであり、すべてのユーザーが最新版へ更新することが強く推奨されます

影響とリスク

この脆弱性が悪用された場合、以下のような深刻な被害が発生する可能性があります:

1. 認証不要での攻撃が可能

攻撃者はWordPressにログインする必要がありません。管理画面へのアクセス権限がなくても、HTTPリクエストを送信するだけで攻撃を実行できます。つまり、通常のセキュリティ対策(強固なパスワード設定や二段階認証など)では防ぐことができません。

2. 任意のコード実行による完全な乗っ取り

攻撃者が悪意あるPHPファイルをアップロードし、そのファイルにアクセスすると、サーバー上で任意のコードを実行できます。これにより以下のような被害が発生します:

  • バックドアの設置:将来的な不正アクセスのための「裏口」を仕込まれます
  • 管理者アカウントの作成:攻撃者が新しい管理者ユーザーを作成し、完全な制御を奪います
  • データベースの改ざん:コンテンツの書き換え、不正なリンクの挿入などが行われます
  • 個人情報の窃取:顧客情報、会員データ、決済情報などが盗まれる可能性があります
  • マルウェアの配布:サイト訪問者に対してウイルスやマルウェアを配布する踏み台にされます

3. 経営・ビジネス上のリスク

技術的な被害だけでなく、ビジネスへの影響も甚大です:

  • ブランド毀損:サイトが改ざんされたり、マルウェア配布元となることで企業の信頼が失墜します
  • SEOへの悪影響:Googleから「危険なサイト」と判定され、検索結果から除外される可能性があります
  • 法的責任:個人情報漏洩が発生した場合、個人情報保護法違反として法的責任を問われる可能性があります
  • 復旧コストの増大:サイト復旧、調査、顧客対応などに多大な費用と時間がかかります

対処方法

この脆弱性への対処は緊急性が高く、以下の手順で速やかに実施してください:

1. 即座にプラグインを最新版へ更新

WordPress管理画面から「WPvivid Backup & Migration」をバージョン0.9.124以降へ更新してください。このバージョンでは以下の修正が実装されています:

  • RSA復号化失敗時の適切なエラーハンドリング追加
  • ファイル拡張子の厳格なチェック(zip、gz、tar、sqlのみ許可)
  • ファイル名のサニタイズ処理強化

更新手順:

  1. WordPress管理画面にログイン
  2. 「プラグイン」→「インストール済みプラグイン」を開く
  3. 「WPvivid Backup & Migration」を探し、「更新」をクリック
  4. 更新完了後、バージョンが0.9.124以降になっていることを確認

2. 更新後の動作確認

プラグイン更新後は、以下の点を確認してください:

  • バックアップ機能の動作確認:テストバックアップを実行し、正常に完了するか確認
  • スケジュールバックアップの再確認:自動バックアップ設定が維持されているか確認
  • 既存のバックアップファイルの確認:過去のバックアップが正常に保存されているか確認

3. セキュリティスキャンの実施

特に「サイト間転送機能」を使用していた場合、既に侵入されている可能性を考慮し、セキュリティスキャンを実施してください

  • WordPressセキュリティプラグインでスキャン(Wordfence、All-In-One Security、MalCareなど)
  • 不審なファイルの確認:wp-content/uploadsやwp-content/pluginsに見覚えのないPHPファイルがないか確認
  • ユーザーアカウントの確認:見覚えのない管理者アカウントが作成されていないか確認
  • データベースの確認:投稿やページに不正なコンテンツが挿入されていないか確認

4. バックアップ体制の見直し

今回のようにバックアッププラグイン自体に脆弱性が存在するケースもあります。プラグインだけに頼らず、多層的なバックアップ体制を構築することが重要です:

  • レンタルサーバーの自動バックアップ機能を併用
  • 外部クラウドストレージへの定期バックアップ
  • 手動バックアップの定期実施
  • バックアップデータの復元テスト

まとめ

WPvivid Backupに発見された今回の脆弱性は、CVSS 9.8という最高レベルの深刻度を持ち、80万以上のサイトに影響を与える可能性があります。

特に、All-in-One WP Migrationの規約変更により代替プラグインとして利用者が急増していたタイミングでの発覚であり、多くのWeb制作現場や企業サイトが影響を受ける可能性がある点に注意が必要です。

幸いなことに、開発チームは迅速に対応し、脆弱性発見からわずか16日後の2026年1月28日に修正版0.9.124をリリースしています。すべてのユーザーは速やかに最新版へ更新することが強く推奨されます。

今回の事例が示すように、バックアップやセキュリティ機能を提供するプラグイン自体が攻撃の入り口になることがあります。プラグインの定期更新はもちろん、セキュリティ情報への注意、多層的なバックアップ体制の構築が不可欠です。

WordPressのセキュリティは「一度設定すれば終わり」ではありません。継続的な監視と更新、そして適切な保守管理によって初めて安全なサイト運営が実現できます。

参考

弊社では、WordPressサイトの定期的な保守サービスを提供しています。

今回のような重大な脆弱性への迅速な対応、プラグインやテーマの定期アップデート、バックアップ、ウイルススキャンなどを、専門のエンジニアが手動で実施いたします。
自動化ではなく手動対応にこだわることで、状況に応じた柔軟な判断と、問題の即時発見・修復が可能になります。
サイト運営者様が長期間チェックをしなくても、常に最新で最適なセキュリティ状態を維持できるよう、全力でサポートいたします。

また、不正ログインや外部からの攻撃に対しては、独自設定のファイアウォールにより24時間サイトを監視・防御。攻撃の増加や異常を検知した際には、エンジニアが即座に対応いたします。

WordPressのセキュリティに不安を感じている方、プラグイン更新の管理に手が回らない方は、ぜひ弊社の保守サービスをご検討ください。

▼ WordPressサイトのセキュリティ保守サービスはこちら ▼

一覧に戻る