【2025年7月版】Solid Securityのバージョンと脆弱性情報

皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。

本記事はSolid Securityのバージョンと脆弱性への対応状況についてまとめたもので、2025年7月8日に執筆しています。

Solid Securityは、WordPressサイト向けの包括的なセキュリティプラグインであり、Liquid Web社のSolidWPチームによって開発・サポートされています。

WordPressのPlugin Directoryの統計情報によると、アクティブインストールは80万以上、総ダウンロード数は3412万回以上を計測しており、世界的にも有名なプラグインの一つと言ってよいでしょう。

一方で、人気が高いほど攻撃対象になるリスクもあるため、脆弱性への適切な対応が重要になります。
実際にSolid Securityの脆弱性は過去見つかっており、迅速に対応されています。

この記事では、企業のWeb担当の皆様に向けて、Solid Securityの概要並びに、脆弱性及びその対応状況をご紹介することで、Solid Security自体については安心して使用していただけるようにしたいと思います。

少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。

・Solid Securityとは
・Solid Securityのバージョン情報に関するポイント
・Solid Securityのバージョン情報
・Solid Securityの脆弱性情報
・Solid Securityのバージョンアップを継続する体制について

Solid Securityとは

前述の通り、Solid Securityは、Liquid Web社のSolidWPチームが開発・サポートを継続している、オープンソースのWordPress向けプラグインであり、2要素認証やログイン試行制限、ファイル変更監視、DBバックアップなど30以上の保護機能を簡単に導入することができます。

簡単な初期設定でサイバーセキュリティを整えられる手軽さと、Liquid Web社という企業による継続開発がなされていることから、世界的にも人気があります。

一方で、利用者の多いプラグインは、攻撃のターゲットにされる可能性があるため、当社では、脆弱性に対する対応が遅い、もしくは対応しないプラグインは、クライアントにお勧めしていません。

Solid Securityについては、定期的にバージョンアップがされており、かつ最新バージョンでは脆弱性が確認されていないことから、2025年7月8日現在、セキュリティ面での問題はないと考えております。

Solid Securityのバージョン情報に関するポイント

Solid Securityは、通常のセマンティックバージョニングに近いバージョニングを採用しており、左からメジャーバージョン、マイナーバージョン、パッチバージョンの3つの数字で構成されています。

2025年7月8日現在、Solid Securityの最新バージョンは9.3.8であり、WordPress 6.8.1までテストされています。

通常のオープンソースソフトウェアでは、公式のサポート（新機能の追加、不具合の改修、セキュリティパッチの提供）対象は最新パッチバージョンのみであり、最新パッチバージョンへのアップデートを推奨いたします。

Solid Securityのバージョン情報

2025年7月8日現在での、Solid Securityのバージョン情報は次の通りです。

バージョン	リリース日	サポート期限	修正された脆弱性
9.3.8	2025年4月28日	サポート中	－
9.3.7	2025年3月26日	2025年4月28日	－
9.3.6	2024年12月4日	2025年3月26日	－
9.3.5	2024年11月19日	2024年12月4日	－
9.3.4	2024年11月11日	2024年11月19日	－
9.3.3	2024年6月19日	2024年11月11日	－
9.3.2	2024年3月22日	2024年6月19日	CVE-2022-44593
9.3.1	2024年2月7日	2024年3月22日	－
9.0.1	2023年10月31日	2023年11月1日	Wordfence
8.1.5	2023年3月23日	2023年4月20日	CVE-2023-28786
7.9.1	2021年4月14日	2021年7月28日	Wordfence
7.7.0	2020年4月15日	2020年4月20日	CVE-2020-36176
7.0.3	2018年6月18日	2018年6月27日	CVE-2018-12636
6.9.1	2018年3月1日	2018年3月8日	CVE-2018-7433
5.6.2	2016年9月27日	2016年10月11日	Wordfence Wordfence
5.3.6	2016年4月19日	2016年5月2日	Wordfence
5.3.1	2016年2月29日	2016年3月1日	Wordfence
4.6.13	2015年4月14日	2015年7月6日	Wordfence
3.6.4	2014年2月25日	2014年2月26日	Wordfence Wordfence
3.5.4	2013年7月21日	2013年7月26日	Wordfence
3.4.4	2012年9月14日	2012年12月4日	Wordfence
3.2.5	2012年5月11日	2012年5月26日	CVE-2012-4264 CVE-2012-4263

※各バージョンのリリース日については、WordPress公式サイトの開発ログの情報に基づいています。
※上記の内容は、バージョン9.3.1までを掲載しています。また、それ以前のバージョンについては、下記脆弱性が修正されたバージョンを追記しています。
※バージョン9.3.1以下には既知の脆弱性が存在するため、グレーにしています。

Solid Securityの脆弱性情報

Solid Securityの最新バージョンは9.3.8であり、当社が把握している全ての脆弱性に修正対応済みとなっています。

また、Solid Security 9.3.1以下のバージョンをご使用の場合には、既知の脆弱性が存在する可能性がありますので、最新バージョンへのアップデートをお勧めします。

特に、Solid Security 7.6.1以下のバージョンをご使用の場合には、重要レベルの脆弱性が存在する可能性がありますので、最新バージョンへのアップデートを強く推奨いたします。

Solid Security自体に関する脆弱性情報で、当社が把握しているものは次の通りです。

脆弱性情報	深刻度	影響を受けるバージョン	修正されたバージョン
Wordfence	CVSS v3 5.3 (警告)	・Solid Security 9.0.0までのバージョン	・Solid Security 9.0.1
CVE-2023-28786 JVNDB-2023-024538	CVSS v3 6.1 (警告)	・Solid Security 8.1.4までのバージョン	・Solid Security 8.1.5
CVE-2022-44593 JVNDB-2022-025123	CVSS v3 5.3 (警告)	・Solid Security 9.3.1までのバージョン	・Solid Security 9.3.2
Wordfence	CVSS v3 5.3 (警告)	・Solid Security 7.9.0までのバージョン	・Solid Security 7.9.1
CVE-2020-36176 JVNDB-2021-002508	CVSS v3 7.5 (重要)	・Solid Security 7.6.1までのバージョン	・Solid Security 7.7.0
CVE-2018-12636 JVNDB-2018-006590	CVSS v3 7.2 (重要)	・Solid Security 7.0.2までのバージョン	・Solid Security 7.0.3
CVE-2018-7433 JVNDB-2018-002287	CVSS v3 7.5 (重要)	・Solid Security 6.9.0までのバージョン	・Solid Security 6.9.1
Wordfence	CVSS v3 6.4 (警告)	・Solid Security 5.6.1までのバージョン	・Solid Security 5.6.2
Wordfence	CVSS v3 5.3 (警告)	・Solid Security 5.6.1までのバージョン	・Solid Security 5.6.2
Wordfence	CVSS v3 7.4 (重要)	・Solid Security 5.3.5までのバージョン	・Solid Security 5.3.6
Wordfence	CVSS v3 5.3 (警告)	・Solid Security 5.3.0までのバージョン	・Solid Security 5.3.1
Wordfence	CVSS v3 6.5 (警告)	・Solid Security 4.6.12までのバージョン	・Solid Security 4.6.13 ※開発ログでは「Better escaping」と記載
Wordfence	CVSS v3 6.4 (警告)	・Solid Security 3.6.3までのバージョン	・Solid Security 3.6.4
Wordfence	CVSS v3 8.3 (重要)	・Solid Security 3.6.3までのバージョン	・Solid Security 3.6.4
Wordfence	CVSS v3 7.2 (重要)	・Solid Security 3.5.3までのバージョン	・Solid Security 3.5.4
Wordfence	CVSS v3 6.5 (警告)	・Solid Security 3.4.3までのバージョン	・Solid Security 3.4.4
CVE-2012-4264 JVNDB-2012-003601	CVSS v2 4.3 (警告)	・Solid Security 3.2.4までのバージョン	・Solid Security 3.2.5
CVE-2012-4263 JVNDB-2012-003600	CVSS v2 4.3 (警告)	・Solid Security 3.2.4までのバージョン	・Solid Security 3.2.5

※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures（本記事では「CVE」とします）の順序に従って掲載しています。CVEの採番がされていない脆弱性情報については、Wordfenceへのリンクを掲載してあります。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。本記事では、CVSS v3にて緊急（9.0～10.0）、重要（7.0～8.9）、警告（4.0～6.9）に区分されるもののみを掲載しており、その他の情報については、JVN iPediaなどでご確認ください。CVSS v3の適用前の脆弱性情報についてはCVSS v2に基づいて記載しています。
※深刻度の数値はJapan Vulnerability Notes（本記事では「JVN」とします）及び、JVNが評価を合わせている米国国立標準技術研究所（NIST）が運営する脆弱性データベースであるNational Vulnerability Database（以下「NVD」）に準拠しています。JVN、NVDにてスコアリングされていない脆弱性情報についてはWordFenceのスコアに準拠しています。
※Better WP Security、iThemes SecurityはSolid Securityの旧名であり、同一のプラグインです。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているかはわかりません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。

Solid Securityのバージョンアップを継続する体制について

前述のように、Solid Securityは世界的にも人気のあるプラグインであり、Web制作の現場でWordPressを利用する場合には、お世話になる確率が高いプラグインです。

しかしながら、Solid Security自体のバージョンアップをしようと思っても、WordPressやPHPのバージョンアップが必要であったり、設定が複雑であるなどの問題に直面することもあるかと思います。

taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されているWeb制作会社で、Solid SecurityとWordPressはもちろんのこと、PHP、MySQL、MariaDBについてもノウハウを有しています。

※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。

Solid Securityを使用したWebサイト制作やアップデートを含む保守・管理に関しては、こちらのお問合せよりお気軽にご相談ください。