WordPress会員プラグイン『UsersWP』にサイト乗っ取りの脆弱性 CVE-2026-13492、2万サイトはv1.2.66へ即更新を
会員登録機能を追加するWordPressプラグイン『UsersWP』(2万以上のサイトが利用)に、登録しただけの一般ユーザーがサイトの重要ファイルを削除し、サイト乗っ取りにつなげられる脆弱性CVE-2026-13492が見つかりました。危険度は10点中8.8。修正版1.2.66がすでに出ており、更新すれば防げます。対象バージョンと今すぐの対策を解説します。
目次
会員登録機能を追加するWordPressプラグイン『UsersWP』(2万以上のサイトが利用)に、登録しただけの一般ユーザーがサイトの重要ファイルを削除し、サイト乗っ取りにつなげられる脆弱性CVE-2026-13492が見つかりました。危険度は10点中8.8。修正版1.2.66がすでに出ており、更新すれば防げます。対象バージョンと今すぐの対策を解説します。
WordPressのサイトに会員登録やログインの機能を追加できる人気プラグイン「UsersWP」に、そのサイトに会員登録しただけの一般ユーザーが、サイトの重要なファイルを勝手に消せてしまう欠陥が見つかりました。識別番号はCVE-2026-13492で、危険度は10点満点中8.8と高めです。UsersWPは2万以上のサイトで使われており、影響範囲は小さくありません。
怖いのは、消せてしまうファイルの中にWordPressの設定の心臓部である「wp-config.php」が含まれる点です。このファイルを消されると、サイトがまっさらな初期設定状態に戻り、そこを突かれてサイトそのものを乗っ取られる恐れがあります。プラグインが本来の役割として「誰でも会員登録できる」状態で運用されているほど、悪用の入口が広いことになります。幸い、修正版1.2.66がすでに公開されており、更新すれば防げます。UsersWPを使っているサイトは、今すぐバージョンを確認してください。
UsersWPとは何か
UsersWPは、WordPressで作ったサイトに会員登録フォーム・ログインフォーム・プロフィール画面・会員名簿をまとめて追加できるプラグインです。プラグインとは、WordPressに後から機能を足す拡張部品のことです。UsersWPを入れると、訪問者が自分でアカウントを作ってログインし、プロフィールを編集できる「会員制サイト」を、専門知識なしで手軽に作れます。オンラインサロン、コミュニティサイト、社内向けの会員ページなどで広く使われています。
つまりUsersWPは、その仕組み上「見知らぬ訪問者に会員アカウントを作らせること」そのものが目的のプラグインです。多くのサイトが、誰でも自由に会員登録できる状態で運用しています。今回の脆弱性は、この「誰でも作れる会員アカウント」が、そのままサイト破壊の足がかりに使えてしまうという点で厄介です。会員機能を提供するプラグインでは、以前にもWordPress『Ultimate Member』で管理者アカウントを乗っ取られる脆弱性が報告されており、利用者を受け入れる入口そのものが狙われやすいという共通の弱点があります。
何が危険なのか、どこまで被害が広がるのか
今回の欠陥は、専門用語では「パス・トラバーサル」と呼ばれる種類の不備です。パス・トラバーサルとは、ファイルの置き場所を指定する文字列に「一つ上の階層へ戻る」記号(../)を紛れ込ませることで、本来触れてはいけない場所のファイルにまで手を伸ばす手口を指します。UsersWPには、会員がアップロードしたファイルを削除する機能があり、そこでこの記号のチェックが甘かったために、サイトのどこにあるファイルでも指定して削除できてしまう状態になっていました。
削除できるファイルの中でも、とりわけ危険なのがWordPressの土台をなす「wp-config.php」です。これはデータベースへの接続情報などが書かれた最重要ファイルで、これが消えるとWordPressは「まだセットアップされていない新品」だと勘違いします。その隙に攻撃者が自分の用意したデータベースへつなぎ直し、新しい管理者アカウントを作ってしまえば、サイトは丸ごと乗っ取られます。単なる「ファイルが1つ消えた」では済まず、サイト全体の支配権を奪われる入口になるということです。
悪用に必要な権限は「購読者(サブスクライバー)」という最も低いレベルの会員アカウントだけです。管理者や編集者である必要はありません。会員登録を開放しているサイトなら、攻撃者はその場で自分でアカウントを作れてしまうため、実質的に誰でも攻撃の起点に立てます。低い権限から一気にサイト支配へ跳ね上がる構図は、WordPress『WPCode』で編集者権限から任意コード実行に至る脆弱性とも通じます。
誰がこの穴を狙い、何が起きるのか
この脆弱性を突くと想定されるのは、サイトを改ざんして荒らす愉快犯や、サイトを人質にとって金銭や再構築費用を要求しようとする攻撃者です。会員登録さえ通れば特別な道具はほとんど要らず、狙いやすい相手になります。個人や小さな団体が運営する会員制サイトは、日々の更新に手いっぱいでプラグインの更新が後回しになりがちで、そこが突かれやすい弱点になります。
攻撃の流れは単純です。攻撃者はまず狙ったサイトに普通の会員として登録し、そのアカウントから細工した削除リクエストを送って、サイトの土台となるファイルを消します。会員登録を受け付けているサイトなら、この最初の一歩に管理者の隙は必要ありません。あとは初期化状態に落ちたサイトを乗っ取るだけです。
結果として、サイトを運営する個人や事業者は、公開しているページが真っ白になったり、まったく別の内容に書き換えられたりする被害を受けます。会員として登録していた利用者から見れば、預けていた個人情報が乗っ取り後のサイトを通じて危険にさらされる可能性もあります。ひとたび乗っ取られると、復旧には時間も費用もかかり、サイトの信用そのものが傷つきます。WordPressプラグインの欠陥を突いた乗っ取りは、毎月のように大量に報告されているのが実情です。
技術的に見ると何が起きているのか
問題は、会員がアップロードしたファイルを削除する処理の作りにありました。識別番号が一つ割り当てられています。
CVE-2026-13492:入力チェックの隙をついて消してはいけないファイルまで消す
UsersWPでは、会員がプロフィール写真などをアップロードでき、それを削除する窓口も用意されています。本来この削除処理は、「会員自身がアップロードした、決められたフォルダの中のファイル」だけを対象にすべきです。ところが入力を検査する「validate_fields」という処理が、ファイル名に紛れ込んだ「../」のような階層移動の記号をそのまま通してしまい、続く削除処理「upload_file_remove」も、指定された場所が正しい保存フォルダの内側かどうかを確かめずにファイルを消していました。
この2つの隙が重なった結果、攻撃者は削除の指定に階層移動の記号を並べて、アップロード用フォルダの外にある任意のファイル、たとえばwp-config.phpまで削除できてしまいます。米国立標準技術研究所(NIST)はこの問題を、触れてはいけない場所へパスをたどれてしまう分類(CWE-22、パス・トラバーサル)として整理しています。危険度が8.8と高いのは、低い権限の会員アカウントから、サイトの機密性・完全性・可用性すべてに深刻な影響を及ぼせる点が評価されたためです。開発元は問題のあった検査を強化する形で修正し、バージョン1.2.66で解消しました。
影響を受けるバージョンとリスクの見取り図
対象となるのはUsersWP 1.2.65以前の全バージョンです。修正版は1.2.66(2026年6月29日公開)で、その翌日には最新の1.2.67も出ています。自分のサイトの状況がどれくらい危ないかは、使っているバージョンと「会員登録をどこまで開放しているか」の組み合わせで変わります。次の表で自分の位置を確認してください。
| 今の状況 | 危険度 | なぜそうなるか |
|---|---|---|
| 1.2.65以前 × 誰でも会員登録可 | 最も危険 | 攻撃者がその場で会員登録し すぐ悪用の起点に立てる |
| 1.2.65以前 × 登録を管理者が承認制に | 依然として危険 | 有効な会員アカウントが要るが 内部者や乗っ取られた低権限アカウントで悪用可 |
| 1.2.66以降 | 対策済み | 検査が強化され この経路は塞がれている |
登録を承認制にしても根本解決にはなりません。攻撃を成立させる有効なアカウントの入手難度が少し上がるだけで、悪意ある会員や、パスワードを盗まれた既存会員のアカウントが使われれば同じことが起きます。確実なのは、あくまでバージョンを1.2.66以降へ更新することです。
これまでの経緯
← スワイプで移動
修正が先に静かにリリースされ、その後で脆弱性情報として公開される流れでした。更新履歴を見ると自動更新を切っているサイトほど古いまま取り残されている恐れがあります。心当たりのある場合は、まず現在のバージョンを確かめてください。
確認できていること、まだ分からないこと
✓ 確認済みの事実
- ✓購読者レベルの会員アカウントで任意ファイルを削除でき、wp-config.phpも対象になり得る(NVD)
- ✓影響を受けるのはUsersWP 1.2.65以前で、修正版1.2.66が公開済み(WordPress.org)
- ✓危険度は8.8で、機密性・完全性・可用性すべてに深刻な影響を与える(Wordfence)
? まだ確認されていないこと
- ?この脆弱性が実際の攻撃に悪用されたという公式な報告は、公開時点で確認されていない
- ?米政府CISAが公開する「実際に攻撃が確認された脆弱性リスト(KEV)」には、公開時点で登録されていない(KEVの最新状況はこちらで確認できる)
- ?攻撃を実演する実証コード(PoC)が公開されているかは、公開時点で確認できていない
今すぐできる対策
対策の軸ははっきりしています。UsersWPを1.2.66以降(できれば最新の1.2.67)へ更新することが最優先です。WordPressの管理画面の「プラグイン」から、UsersWPに更新の通知が出ていないか確認し、出ていればすぐに適用してください。自動更新を有効にしておくと、今後同種の問題が出たときにも取り残されにくくなります。
すぐに更新できない事情がある場合の一時しのぎとして、会員登録を一時的に停止する、身に覚えのない新規会員アカウントが増えていないか確認するといった手当てで悪用の入口を狭められます。あわせて、wp-config.phpを含むサイトのバックアップを取っておくと、万一削除されても復旧しやすくなります。ただしこれらは時間稼ぎであり、根本的にはバージョンアップが必要です。
WordPressサイトを守るうえでは、使っていないプラグインを削除し、有効なものだけを最新に保つのが基本です。会員機能や予約機能のように「外部の人を受け入れる」プラグインは特に狙われやすく、予約受付プラグインLatePointでサイト乗っ取りにつながった事例のように、同種の注意が繰り返し必要になります。
| 立場 | 今できること | 優先度 |
|---|---|---|
| サイト運営者 | 1.2.66以降へ更新 更新まで会員登録を一時停止 | 最優先 |
| 制作を請け負う人 | 納品先サイトのバージョン確認 自動更新の設定を提案 | 高 |
| 会員として利用中の人 | パスワードの使い回しをやめる 不審な挙動があれば運営に連絡 | 中 |
よくある質問
Q. 自分のサイトがUsersWPを使っているか、どう確認すればいいですか。
A. WordPressの管理画面にログインし、左メニューの「プラグイン」を開くと、有効なプラグインの一覧に「UsersWP」があるかどうかで分かります。あわせてバージョン番号も表示されるので、1.2.65以前であれば更新が必要です。制作会社に任せている場合は、担当者にバージョンの確認と更新を依頼してください。
Q. 会員登録を受け付けていなければ安全ですか。
A. 誰でも登録できる状態よりは攻撃の難度が上がりますが、安全とは言い切れません。悪用には有効な会員アカウントが必要なだけで、内部の関係者や、パスワードを盗まれた既存会員のアカウントが使われれば同じ被害が起き得ます。登録の開放状況にかかわらず、更新するのが確実です。
Q. すでに攻撃に悪用されているのですか。
A. 本記事の公開時点で、この脆弱性が実際の攻撃に使われたという公式な報告は確認されていません。米政府CISAの攻撃確認リスト(KEV)にも登録されていません。ただし手口は単純で、WordPressプラグインの脆弱性は公開後に悪用が始まることが多いため、早めに更新を済ませておくのが安全です。
Q. wp-config.phpを消されたら、もう元に戻せないのですか。
A. バックアップがあれば復旧は可能です。wp-config.phpにはデータベースの接続情報が書かれているため、消される前のバックアップから戻すか、正しい情報で作り直せばサイトは復旧できます。だからこそ、日頃からファイルとデータベースの両方のバックアップを取っておくことが、乗っ取りへの備えとして有効です。
まとめ
今回の件は、会員機能を手軽に追加できる便利なプラグインが、その「誰でも登録できる」性質ゆえに、登録者からサイトの土台を壊される入口になり得るという話です。CVE-2026-13492は購読者という最も低い権限から、wp-config.phpの削除を通じてサイト乗っ取りにまでつながります。2万を超えるサイトが対象で、決して他人事ではありません。
救いは、修正版1.2.66がすでに出ていることです。管理画面から更新するだけで防げます。会員機能や予約機能のように外部の人を受け入れるプラグインは、便利さと引き換えに狙われやすいという前提で、こまめな更新を習慣にしておきたいところです。新たな悪用の動きがあれば、あらためてお伝えします。
参照元

堀川 慎
Backend Engineer / AWS / Django / Go