- SERVICE
Webサイト・CMSの保守管理・運用
- WORKS
- ABOUT US
- NEWS & COLUMN
- RECRUIT
皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。
本記事は、WordPress本体の脆弱性情報一覧を2025年5月12日に改訂したものとなります。
WordPressはウェブサイトやブログを作成、管理するためのオープンソースのCMS(コンテンツ・マネジメント・システム)です。
このWordPressは世界で最も利用されているCMSであり、W3Techsによれば、世界中のWebサイトの約43.5%がWordPressで構築されているとのことです。
一方で、世界で最も利用されているCMSであるからこそ、その脆弱性をついたサイバー攻撃の標的になりやすいという特徴も有しています。
近年、特に2013年以降におけるWordPressの脆弱性は、テーマやプラグインに関するものが多くを占めていますが、WordPress本体(コア)に関する脆弱性への対応が重要であることは変わりません。
そこで、この記事ではWordPress本体(コア)の脆弱性情報をまとめることで、企業のWeb担当者の皆様が、ご使用になられているWordPressの脆弱性を簡単に把握できるようにしたいと思います。
少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。
WordPressの脆弱性に関するポイント
WordPressの最新バージョンは6.8系統です。
あまり知られていませんが、WordPressのセキュリティサポートは最新バージョンのみとなります。
2025年5月12日現在、最新バージョンは6.8.1(2025年5月7日リリース)ですので、6.8以下の公式サポートは終了していることになります。
とはいえ、WordPressは実際には古いバージョンに対するセキュリティアップデートも可能な範囲で提供していることから、最新バージョンではないからセキュリティサポートが無いということではありません。
各バージョンとサポート状況については、「WordPressのバージョン情報とサポート期限」をご確認ください。
WordPressの脆弱性情報一覧
WordPress本体(コア)に関する脆弱性で、2023年以降に発見されたものについては、CVSS v3にて緊急(9.0~10.0)、重要(7.0~8.9)、警告(4.0~6.9)に区分される脆弱性情報を掲載しています。
WordPress本体(コア)に関する脆弱性で、2022年以前に発見されたものについては、CVSS v3にて緊急(9.0~10.0)に区分される脆弱性情報のみを掲載しています。
| 脆弱性情報 | 深刻度 | 影響を受けるバージョン | 修正されたバージョン |
| CVSS v3 4.3 (警告) |
・WordPress 6.5から6.5.4 ・WordPress 6.4から6.4.4 ・WordPress 6.3から6.3.4 ・WordPress 6.2から6.2.5 ・WordPress 6.1から6.1.6 ・WordPress 6.0から6.0.8 ・WordPress 5.9から5.9.9 ・WordPress 5.8から5.8.9 ・WordPress 5.7から5.7.11 ・WordPress 5.6から5.6.13 ・WordPress 5.5から5.5.14 ・WordPress 5.4から5.4.15 ・WordPress 5.3から5.3.17 ・WordPress 5.2から5.2.20 ・WordPress 5.1から5.1.18 ・WordPress 5.0から5.0.21 ・WordPress 4.9から4.9.25 ・WordPress 4.8から4.8.24 ・WordPress 4.7から4.7.28 ・WordPress 4.6から4.6.28 ・WordPress 4.5から4.5.31 ・WordPress 4.4から4.4.32 ・WordPress 4.3から4.3.33 ・WordPress 4.2から4.2.37 ・WordPress 4.1から4.1.40 ・WordPress 4.1未満のすべてのバージョン |
・WordPress 6.5.5 ・WordPress 6.4.5 ・WordPress 6.3.5 ・WordPress 6.2.6 ・WordPress 6.1.7 ・WordPress 6.0.9 ・WordPress 5.9.10 ・WordPress 5.8.10 ・WordPress 5.7.12 ・WordPress 5.6.14 ・WordPress 5.5.15 ・WordPress 5.4.16 ・WordPress 5.3.18 ・WordPress 5.2.21 ・WordPress 5.1.19 ・WordPress 5.0.22 ・WordPress 4.9.26 ・WordPress 4.8.25 ・WordPress 4.7.29 ・WordPress 4.6.29 ・WordPress 4.5.32 ・WordPress 4.4.33 ・WordPress 4.3.34 ・WordPress 4.2.38 ・WordPress 4.1.41 |
|
| CVSS v3 9.8(緊急) |
・WordPress 6.4から6.4.1 | ・WordPress 6.4.2 | |
| CVSS v3 6.4 (警告) |
・WordPress 6.5から6.5.4 ・WordPress 6.4から6.4.4 ・WordPress 6.3から6.3.4 ・WordPress 6.2から6.2.5 ・WordPress 6.1から6.1.6 ・WordPress 6.0から6.0.8 ・WordPress 5.9から5.9.9 |
・WordPress 6.5.5 ・WordPress 6.4.5 ・WordPress 6.3.5 ・WordPress 6.2.6 ・WordPress 6.1.7 ・WordPress 6.0.9 ・WordPress 5.9.10 |
|
| CVSS v3 6.4 (警告) |
・WordPress 6.5.4までのバージョン | ・WordPress 6.5.5 | |
| CVSS v3 7.2 (重要) |
・WordPress 6.5から6.5.1 ・WordPress 6.4から6.4.3 ・WordPress 6.3から6.3.3 ・WordPress 6.2から6.2.4 ・WordPress 6.1から6.1.5 ・WordPress 6.0から6.0.7 |
・WordPress 6.5.2 ・WordPress 6.4.4 ・WordPress 6.3.4 ・WordPress 6.2.5 ・WordPress 6.1.6 ・WordPress 6.0.8 |
|
| CVSS v3 4.3 (警告) |
・WordPress 6.3から6.3.1 ・WordPress 6.2から6.2.2 ・WordPress 6.1から6.1.3 ・WordPress 6.0から6.0.5 ・WordPress 5.9から5.9.7 ・WordPress 5.8から5.8.7 ・WordPress 5.7から5.7.9 ・WordPress 5.6から5.6.11 ・WordPress 5.5から5.5.12 ・WordPress 5.4から5.4.13 ・WordPress 5.3から5.3.15 ・WordPress 5.2から5.2.18 ・WordPress 5.1から5.1.16 ・WordPress 5.0から5.0.19 ・WordPress 4.9から4.9.23 ・WordPress 4.8から4.8.22 ・WordPress 4.7から4.7.26 ・WordPress 4.6から4.6.26 ・WordPress 4.5から4.5.29 ・WordPress 4.4から4.4.30 ・WordPress 4.3から4.3.31 ・WordPress 4.2から4.2.35 ・WordPress 4.1.38までの全てのバージョン |
・WordPress 6.3.2 ・WordPress 6.2.3 ・WordPress 6.1.4 ・WordPress 6.0.6 ・WordPress 5.9.8 ・WordPress 5.8.8 ・WordPress 5.7.10 ・WordPress 5.6.12 ・WordPress 5.5.13 ・WordPress 5.4.14 ・WordPress 5.3.16 ・WordPress 5.2.19 ・WordPress 5.1.17 ・WordPress 5.0.20 ・WordPress 4.9.24 ・WordPress 4.8.23 ・WordPress 4.7.27 ・WordPress 4.6.27 ・WordPress 4.5.30 ・WordPress 4.4.31 ・WordPress 4.3.32 ・WordPress 4.2.36 ・WordPress 4.1.39 |
|
| CVSS v3 5.4 (警告) |
・WordPress 6.3から6.3.1 ・WordPress 6.2から6.2.2 ・WordPress 6.1から6.1.3 ・WordPress 6.0から6.0.5 ・WordPress 5.9から5.9.7 |
・WordPress 6.3.2 ・WordPress 6.2.3 ・WordPress 6.1.4 ・WordPress 6.0.6 ・WordPress 5.9.8 |
|
| CVSS v3 5.3 (警告) |
・WordPress 6.4.3までのバージョン | ・WordPress 6.5 | |
| CVSS v3 5.3 (警告) |
・WordPress 6.3から6.3.1 ・WordPress 6.2から6.2.2 ・WordPress 6.1から6.1.3 ・WordPress 6.0から6.0.5 ・WordPress 5.9から5.9.7 ・WordPress 5.8から5.8.7 ・WordPress 5.7から5.7.9 ・WordPress 5.6から5.6.11 ・WordPress 5.5から5.5.12 ・WordPress 5.4から5.4.13 ・WordPress 5.3から5.3.15 ・WordPress 5.2から5.2.18 ・WordPress 5.1から5.1.16 ・WordPress 5.0から5.0.19 ・WordPress 4.9から4.9.23 ・WordPress 4.8から4.8.22 ・WordPress 4.7から4.7.26 |
・WordPress 6.3.2 ・WordPress 6.2.3 ・WordPress 6.1.4 ・WordPress 6.0.6 ・WordPress 5.9.8 ・WordPress 5.8.8 ・WordPress 5.7.10 ・WordPress 5.6.12 ・WordPress 5.5.13 ・WordPress 5.4.14 ・WordPress 5.3.16 ・WordPress 5.2.19 ・WordPress 5.1.17 ・WordPress 5.0.20 ・WordPress 4.9.24 ・WordPress 4.8.23 ・WordPress 4.7.27 |
|
| CVSS v3 6.1 (警告) |
・WordPress 6.2 ・WordPress 6.1から6.1.1 ・WordPress 6.0から6.0.3 ・WordPress 5.9から5.9.5 ・WordPress 5.8から5.8.6 ・WordPress 5.7から5.7.8 ・WordPress 5.6から5.6.10 ・WordPress 5.5から5.5.11 ・WordPress 5.4から5.4.12 ・WordPress 5.3から5.3.14 ・WordPress 5.2から5.2.17 ・WordPress 5.1から5.1.15 ・WordPress 5.0から5.0.18 ・WordPress 4.9から4.9.22 ・WordPress 4.8から4.8.21 ・WordPress 4.7から4.7.25 ・WordPress 4.6から4.6.25 ・WordPress 4.5から4.5.28 ・WordPress 4.4から4.4.29 ・WordPress 4.3から4.3.30 ・WordPress 4.2から4.2.34 ・WordPress 4.1.37までの全てのバージョン |
・WordPress 6.2.1 ・WordPress 6.1.2 ・WordPress 6.0.4 ・WordPress 5.9.6 ・WordPress 5.8.7 ・WordPress 5.7.9 ・WordPress 5.6.11 ・WordPress 5.5.12 ・WordPress 5.4.13 ・WordPress 5.3.15 ・WordPress 5.2.18 ・WordPress 5.1.16 ・WordPress 5.0.19 ・WordPress 4.9.23 ・WordPress 4.8.22 ・WordPress 4.7.26 ・WordPress 4.6.26 ・WordPress 4.5.29 ・WordPress 4.4.30 ・WordPress 4.3.31 ・WordPress 4.2.35 ・WordPress 4.1.38 |
|
| CVSS v3 9.8(緊急) |
・WordPress 5.7までのバージョン | ・WordPress 5.8 | |
| CVSS v3 9.1 (緊急) |
・WordPress 5.5.1までのバージョン | ・WordPress 5.5.2 | |
| CVSS v3 9.8 (緊急) |
・WordPress 5.5.1までのバージョン | ・WordPress 5.5.2 | |
| CVSS v3 9.8 (緊急) |
・WordPress 5.5.1までのバージョン | ・WordPress 5.5.2 | |
| CVSS v3 9.8 (緊急) |
・WordPress 5.5.1までのバージョン | ・WordPress 5.5.2 | |
| CVSS v3 9.8 (緊急) |
・WordPress 5.5.1までのバージョン | ・WordPress 5.5.2 | |
| CVSS v3 9.8 (緊急) |
・WordPress 5.3.0までのバージョン | ・WordPress 5.3.1 | |
| CVSS v3 9.8 (緊急) |
・WordPress 5.2.3までのバージョン | ・WordPress 5.2.4 | |
| CVSS v3 9.8 (緊急) |
・WordPress 5.2.3までのバージョン | ・WordPress 5.2.4 | |
| CVSS v3 9.8 (緊急) |
・WordPress 5.0のバージョン ・WordPress 4.9.8までのバージョン |
・WordPress 5.0.1 ・WordPress 4.9.9 |
|
| CVSS v3 9.8 (緊急) |
・WordPress 4.8.2までのバージョンまで | ・WordPress 4.8.3 | |
| CVSS v3 9.8 (緊急) |
・WordPress 4.8.1までのバージョン | ・WordPress 4.8.2 | |
| CVSS v3 9.8 (緊急) |
・WordPress 4.7.1までのバージョン | ・WordPress 4.7.2 |
※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures(本記事では「CVE」とします)の順序に従って掲載しています。CVEが採番されていない脆弱性については、現時点では掲載しておりません。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。前述の掲載ルール外の脆弱性情報については、JVN iPediaなどでご確認ください。
※深刻度の数値はJapan Vulnerability Notes(本記事では「JVN」とします)及び、JVNが評価を合わせている米国国立標準技術研究所(NIST)が運営する脆弱性データベースであるNational Vulnerability Database(以下「NVD」)に準拠しています。NVDにてスコアリングされていない場合にはWordFenceのスコアを掲載しています。
※原則としてJVNのページを正としていますが、JVNに掲載されていない情報などについてはNVDのサイトを参照しています。
※本記事における脆弱性情報は、当社が把握している情報の一部であり、全ての脆弱性情報を網羅できているわけではありません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。
WordPressのバージョンアップ方法
ステージング環境の準備とバックアップ
まず、WordPressで構築されたWebサイトの動作テストを行うための環境を構築し、同環境内で各種バージョンアップ業務と不具合の解決を実施していきます。
WordPressサイトが適切に管理されている場合には、いわゆるステージング環境(テスト環境)が用意されていることが多いため、通常はこちらを利用します。
もしステージング環境が存在しない場合には、このステージング環境の構築からスタートします。
また、運用方針によってはステージング環境とは別にディベロップ環境を構築し、そちらでバージョンアップ業務をテストしていくこともあります。
いずれにせよ、トラブル時に元の状態に戻せるようにバックアップをしっかりと保管しておく必要があります。
PHPのバージョンアップ
次に、ミドルウェアであるPHPのバージョンアップを実施します。
WordPressはPHPというプログラム言語で開発されており、PHPのバージョンが一定以下だと最新のWordPressが正常に挙動しないということが起こりえます。
WordPressの各バージョンに対応するPHPのバージョンについては、下記ページを参照してください。
・WordPressと対応するPHPのバージョン情報
なお、PHP自体に脆弱性が見つかるため、セキュリティ対策の面でもPHPのバージョンアップを実施する必要があります。
PHPの脆弱性情報については、下記ページを参照してください。
・PHP8.4の脆弱性情報一覧
・PHP8.3の脆弱性情報一覧
・PHP8.2の脆弱性情報一覧
・PHP8.1の脆弱性情報一覧
・PHP8.0の脆弱性情報一覧
・PHP7.4の脆弱性情報一覧
・PHP7.3の脆弱性情報一覧
・PHP7.2の脆弱性情報一覧
・PHP7.1の脆弱性情報一覧
・PHP7.0の脆弱性情報一覧
・PHP5.6の脆弱性情報一覧
近年のPHPはバージョンが新しくなればなるほど処理速度が速くなるように開発が進められています。
WordPressで構築されたWebサイトの表示速度を向上させるためにも、PHPのバージョンアップは重要になります。
MySQLないしMariaDBのバージョンアップ
また、WordPressは、MySQLないしMariaDBというオープンソースのリレーショナルデータベース管理システム(RDBMS)のどちらかを選択して使用する必要があるため、WordPressのバージョンアップにあたっては、MySQLのバージョンアップとセットで計画・実施せねばならないことがあります。
WordPressの各バージョンに対応するMySQL及びMariaDBのバージョンについては、下記ページを参照してください。
・WordPressと対応するMySQLのバージョン情報
・WordPressと対応するMariaDBのバージョン情報
MySQL及びMariaDBの脆弱性情報については、下記ページを参照してください。
・MySQLの脆弱性情報一覧
・MariaDBの脆弱性情報一覧
WordPress本体・テーマ・プラグインのバージョンアップ
WordPress本体はPHP及びMySQL(ないしMariaDB)で開発されているため、PHPやMySQL(ないしMariaDB)のバージョンアップはWordPress本体に影響を与えますし、テーマやプラグインはWordPress上で動作するため、WordPress本体のバージョンアップはテーマやプラグインに影響を与えます。
その為、PHP、MySQL(ないしMariaDB)、WordPress本体、テーマ、プラグインのバージョンアップを依存関係の基礎となる側から順次実施していき、不具合を見つけては一つずつ地道にこれを解消していく必要があります。
本番環境への反映、テスト
以上のバージョンアップ作業を実施した後、本番環境に反映させます。
本番環境に反映後も、挙動テストを実施します。
WordPressのバージョンアップに強いWeb制作会社をお探しの場合にはご相談ください
前述のように、WordPressはPHPをはじめとするミドルウェア(MySQLやApache)や、WordPress上で動作するテーマやプラグインとの依存関係に留意しながら、バージョンアップを行う必要があります。
また、Web制作会社はいわゆるWebアプリケーション側(WebサイトやCMS等)を専門としていますので、WordPressについては得意な会社が多いと思いますが、PHPを含めたミドルウェアについては対応されていない会社も多いと思います。
taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されています。
特に、WordPressの適切なバージョンアップについては、専門チームも有しており、豊富な実績を有します。
※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。
ミドルウェアも含めたWordPressバージョンアップに対応できるWeb制作会社をお探しの場合には、お気軽に当社にお問合せください。
- この記事を書いた存在
- ちほうタイガー
taneCREATIVEに所属する謎のトラ。
- WordPressをお勧めしているわけではないが、WordPressの案件が多く、結果得意になってしまったWebコンサルタント。
「WordPressは実はかなり堅牢です。バージョンアップさえちゃんとすれば」と伝導している。
2025年5月12日改訂
2024年11月12日改訂
2024年9月26日執筆
